新型网络攻击武器化DeskSoft软件,通过RDP访问部署恶意软件执行指令
内容提要
网络安全研究人员发现一起高级网络攻击,攻击者伪装成DeskSoft的EarthTime应用,部署多种恶意软件,利用用户对合法软件的信任绕过安全防护。攻击链复杂,涉及多个勒索软件组织,采用进程注入和时间戳篡改等技术,增加检测难度,确保持久访问。
关键要点
-
网络安全研究人员发现针对企业的高级网络攻击,攻击者伪装成DeskSoft的EarthTime应用程序。
-
攻击者在协同勒索软件攻击中部署多个恶意软件家族,利用用户对合法软件的信任绕过安全防护。
-
攻击展现出技术复杂性,涉及多个恶意软件,包括SectopRAT、SystemBC和Betruger。
-
攻击与三大勒索软件组织Play、RansomHub和DragonForce有关,可能涉及跨组织的附属机构。
-
攻击者通过启动文件夹快捷方式和创建本地管理员账户维持持久访问权限。
-
恶意软件链使用侦察工具进行环境测绘,主要依赖远程桌面协议(RDP)进行横向移动。
-
恶意软件采用进程注入技术,伪装成合法的Windows进程以规避安全检测。
-
持久化机制通过Windows后台智能传输服务(BITS)实现,确保系统重启后仍能执行。
-
攻击者使用时间戳篡改技术增加取证分析难度,干扰事件响应活动。
-
注册表修改禁用Windows Defender的核心功能,确保系统范围的影响。
-
恶意软件伪装成合法安全产品,降低用户和安全系统的怀疑。
-
数据外泄通过未加密的FTP连接进行,为事件响应团队提供有价值的情报。
延伸解读
合法软件的武器化风险
此次攻击展示了合法软件被恶意利用的风险,攻击者通过伪装成DeskSoft的EarthTime应用,利用用户对合法软件的信任,成功绕过了初步的安全防护。这提醒企业在软件使用和下载时需加强警惕,确保来源的可靠性。
复杂的攻击链与持久化机制
攻击者通过多种技术手段维持持久访问,包括创建本地管理员账户和利用Windows后台智能传输服务进行持久化。这种复杂的攻击链使得检测和响应变得更加困难,企业应考虑加强对网络活动的监控和分析,以便及时发现异常行为。
防御措施的挑战
攻击中使用的进程注入和时间戳篡改技术显著增加了安全防护的难度。企业在部署安全解决方案时,应关注这些高级规避技术,并考虑采用多层次的防御策略,以提高对复杂攻击的抵御能力。
延伸问答
DeskSoft的EarthTime应用程序是如何被攻击者利用的?
攻击者伪装成DeskSoft的EarthTime应用程序,诱使用户下载并运行恶意程序,从而部署多个恶意软件。
此次网络攻击涉及哪些恶意软件家族?
此次攻击涉及多个恶意软件家族,包括SectopRAT、SystemBC和Betruger。
攻击者是如何维持持久访问权限的?
攻击者通过创建本地管理员账户和启动文件夹快捷方式来维持持久访问权限。
恶意软件是如何规避安全检测的?
恶意软件采用进程注入技术伪装成合法的Windows进程,并修改注册表禁用Windows Defender的核心功能。
此次攻击与哪些勒索软件组织有关?
此次攻击与Play、RansomHub和DragonForce等三大勒索软件组织有关。
攻击者如何进行数据外泄?
数据外泄通过未加密的FTP连接进行,使得凭据和传输细节以明文形式被捕获。
