数十个美国新闻网站遭到WastedLocker勒索软件攻击

2020-07-03 09:50:47 2 1421

\Evil Corp团伙入侵了同一家公司拥有的数十个美国报纸网站,使用基于SocGholish基于JavaScript的恶意框架显示的假冒软件更新警报来感染30多家美国大型私营公司的员工,当员工在其网站之一上浏览新闻时,WastedLocker攻击的某些组织可能已经受到威胁。

该Evil Corp团伙入侵了同一家公司拥有的数十个美国报纸网站,使用基于SocGholish基于JavaScript的恶意框架显示的假冒软件更新警报来感染30多家美国大型私营公司的员工。

员工的计算机被用作进入公司企业网络的起点,这看起来像是一系列针对性的驾车攻击。

赛门铁克确认“同一母公司拥有的数十个美国报纸网站已被SocGholish注入的代码所破坏”。

当员工在其网站之一上浏览新闻时,WastedLocker攻击的某些组织可能已经受到威胁。”

赛门铁克威胁情报团队的研究人员发现了这些攻击,称拥有受感染新闻站点的公司受到了警告,并删除了恶意代码。

有关我们#WastedLocker调查的更新。同一母公司拥有的数十个美国报纸网站遭到攻击者的攻击,以感染潜在的目标。赛门铁克已通知该公司,现已删除了恶意代码。https://t.co/28E9iNr0o3

—威胁情报(@threatintel)2020年7月1日
赛门铁克此前在6月26日发布的一份报告中说,它阻止了Evil Corp团伙在对31家大型私人公司的攻击中部署了WastedLocker勒索软件有效载荷,其中包括30家美国公司,其中包括“ 11家上市公司,其中8家是财富500强公司”。

赛门铁克的研究人员解释说:“至少有31个客户组织受到攻击,这意味着攻击总数可能要高得多。”

“攻击者已经破坏了目标组织的网络,并且正在为进行勒索软件攻击奠定基础。”

Evil Corp.将攻击指向了许多行业领域,重点是制造业(31个目标中的五个),其中信息技术(四个组织)和电信(三个实体)也被列为最受关注的三个领域。

赛门铁克补充说:“如果攻击者没有受到干扰,成功的攻击可能会导致数百万美元的损失,停机并可能对供应链造成多米诺骨牌效应。”


各行业的WastedLocker目标
按行业划分的WastedLocker目标(Symantec)
正如赛门铁克研究人员所解释的那样,Evil Corp的攻击始于SocGholish框架的感染,该框架用于感染访问了150多个被黑网站(今天更新中提到的数十个是美国报纸网站)的目标。

这是通过显示伪造的软件更新警报来完成的,这些警报以伪造的程序更新的形式将恶意软件有效载荷传递到目标设备上。

在公司员工被感染后,黑客使用Cobalt Strike威胁仿真软件和一些远程工具“窃取凭据,升级特权并在网络上移动”,最终目的是使用WastedLocker加密计算机。勒索软件。

在部署勒索软件之前,他们还使用PowerShell脚本和合法工具在受害者的整个网络上禁用了Windows Defender。

如果使用Windows Sysinternals PsExec工具成功部署了WastedLocker有效负载,它将对受害者的数据进行加密,并删除Windows影子卷以擦除备份和文件快照,从而使恢复无法进行。


Evil Corp网络犯罪组织(又名Dridex帮派)至少从2007年开始活跃,并分发了Dridex恶意软件工具包,此工具包随后用于传播其他威胁行为者的恶意软件有效载荷。

直到2019年,他们还参与了Locky勒索软件的发行以及他们自己的被称为BitPaymer的勒索软件。

它的两名成员于2019年12月因参与国际银行欺诈和计算机黑客计划而被美国司法部起诉,导致盗窃超过1亿美元。

从那以后,Evil Corp刷新了策略,现在再次参与勒索软件“业务”,部署新的WastedLocker勒索软件以针对企业进行有针对性的攻击,并索要数百万美元的赎金。

关于作者

tormail11篇文章246篇回复

评论2次

要评论?请先  登录  或  注册
  • 2楼
    2020-7-29 23:20

    重点是他们如何确定公司员工的,社工?还是靠筛选?后者的话体力活啊

  • 1楼
    2020-7-28 17:06

    这个勒索是通过什么样的手段进入并且控制服务器的,网页伪装更新下载?还是邮箱传播