官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Unit 42最新分析报告披露,一家全球数据存储和基础设施公司因员工点击恶意CAPTCHA诱饵,遭受毁灭性勒索软件攻击而陷入瘫痪。
据Unit 42描述,"攻击始于一名员工访问遭入侵的汽车经销商网站时",点击了看似常规的机器人验证提示。这个看似无害的操作实则是ClickFix社会工程学手段——将恶意软件投递伪装成标准CAPTCHA交互的技术。
此次点击使得Akira勒索软件分发组织Howling Scorpius获得初始入侵入口,随后展开长达42天的渗透,最终演变为全面企业危机。
伪装CAPTCHA投递SectopRAT木马
表面普通的"点击验证人类身份"环节暗藏杀机。该诱饵投递了基于.NET的远程访问木马SectopRAT,使攻击者能隐藏代码执行并控制受感染工作站。
Unit 42指出:"当员工与虚假CAPTCHA交互时,他们无意间下载了SectopRAT恶意软件,为Howling Scorpius提供了立足点。"该木马使攻击者能监控活动、窃取数据并静默执行命令,为后续缓慢而有序的渗透奠定基础。
长达42天的横向渗透
入侵得手后,Howling Scorpius展现出惊人的耐心与精准:
- 建立持久化命令控制后门
- 绘制虚拟基础设施图谱
- 入侵包括域管理员在内的多个特权账户
- 通过RDP、SSH和SMB协议横向移动
- 控制域控制器
- 使用WinRAR在多文件共享位置打包海量数据档案
Unit 42强调:"攻击者在42天内访问域控制器,并利用WinRAR在多个文件共享位置打包大量数据。"他们从单个业务域逐步渗透至企业网络,最终突破边界染指云资源。
摧毁云备份实施致命打击
在部署勒索软件前,攻击者执行了整个攻击链中最具破坏性的步骤:
- 删除存储备份和计算资源的云存储容器,彻底消除企业恢复可能
- 使用FileZillaPortable外泄近1TB数据 最终在三套独立网络同时部署Akira勒索软件,致使虚拟机脱机、业务全面停摆。
安全防护形同虚设
Unit 42最惊人的发现是:受害者虽具备安全可见性,却未能有效利用。尽管部署了两套企业级EDR解决方案,这些工具全程保持沉默。报告显示:"这些工具在日志中记录了恶意活动...但几乎没有生成警报","安全团队理论上具备可见性,实践中却形同虚设"。横向移动、权限提升、文件打包等每个攻击步骤虽被记录,却持续一个多月未被察觉。
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)