|
原文:Ransomware gang targets Windows admins via PuTTy, WinSCP malvertising
https://www.bleepingcomputer.com/news/security/ransomware-gang-targets-windows-admins-via-putty-winscp-malvertising/
以下为机翻内容:
勒索软件操作以 Windows 系统管理员为目标,通过删除 Google 广告来宣传 Putty 和 WinSCP 的虚假下载网站。
WinSCP 和 Putty 是流行的 Windows 实用程序,其中 WinSCP 是 SFTP 客户端和 FTP 客户端,Putty 是 SSH 客户端。
系统管理员通常在 Windows 网络上拥有更高的权限,这使得他们成为想要通过网络快速传播、窃取数据以及访问网络域控制器以部署勒索软件的威胁行为者的宝贵目标。
Rapid7 最近的一份报告称,搜索引擎活动在搜索下载 winscp 或下载 putty 时会显示虚假 Putty 和 WinSCP 网站的广告。目前尚不清楚该活动是在 Google 还是 Bing 上进行。这些广告使用了误植域名,例如 puutty.org、puutty[.]org、wnscp[.]net 和 vvinscp[.]net。虽然这些网站冒充了 WinSCP (winscp.net) 的合法网站,但威胁行为者却冒充了 PuTTY (putty.org) 的非附属网站,许多人认为该网站才是真正的网站。 PuTTY 的官方网站实际上是 https://www.chiark.greenend.org.uk/~sgtatham/putty/。
这些网站包含下载链接,点击这些链接后,这些链接会将您重定向到合法网站,或者根据您是由搜索引擎还是活动中的其他网站引荐,从威胁行为者的服务器下载 ZIP 存档。下载的 ZIP 存档包含一个 Setup.exe 可执行文件(它是 Python for Windows (pythonw.exe) 的重命名且合法的可执行文件)和一个恶意 python311.dll 文件。当 pythonw.exe 可执行文件启动时,它将尝试启动合法的 python311.dll 文件。然而,威胁行为者使用 DLL 旁加载加载的恶意版本替换了该 DLL。当用户运行 Setup.exe 时,认为它正在安装 PuTTY 或 WinSCP,它会加载恶意 DLL,该 DLL 会提取并执行加密的 Python 脚本。该脚本最终将安装 Sliver 后利用工具包,这是一种用于初始访问企业网络的流行工具。Rapid7 表示,威胁行为者使用 Sliver 远程投放更多有效负载,包括 Cobalt Strike 信标。黑客利用此访问权限窃取数据并尝试部署勒索软件加密器。
虽然 Rapid7 分享了有关勒索软件的有限细节,但研究人员表示,该活动与 Malwarebytes 和 Trend Micro 发现的活动类似,后者部署了现已关闭的 BlackCat/ALPHV 勒索软件。Rapid7 的 Tyler McGraw 解释说:“在最近的一次事件中,Rapid7 观察到威胁行为者试图使用备份实用程序 Restic 窃取数据,然后部署勒索软件,但这一尝试最终在执行过程中被阻止。”“Rapid7 观察到的相关技术、策略和程序 (TTP) 让人想起趋势科技去年报告的过去的 BlackCat/ALPHV 活动。”在过去的几年中,搜索引擎广告已成为一个大问题,许多威胁行为者利用它们来推送恶意软件和网络钓鱼网站。这些广告针对流行程序,包括 Keepass、CPU-Z、Notepad++、Grammarly、MSI Afterburner、Slack、Dashlane、7-Zip、CCleaner、VLC、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、雷鸟和勇敢。最近,一名威胁行为者取出了谷歌广告,其中包含加密货币交易平台 Whales Market 的合法 URL。然而,该广告导致了一个包含加密货币删除程序的网络钓鱼网站,用于窃取访问者的加密货币。
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|