新型网络攻击武器化DeskSoft软件,通过RDP访问部署恶意软件执行指令
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
网络安全研究人员发现一起高级网络攻击,攻击者伪装成DeskSoft的EarthTime应用,部署多种恶意软件,利用用户对合法软件的信任绕过安全防护。攻击链复杂,涉及多个勒索软件组织,采用进程注入和时间戳篡改等技术,增加检测难度,确保持久访问。
🎯
关键要点
- 网络安全研究人员发现针对企业的高级网络攻击,攻击者伪装成DeskSoft的EarthTime应用程序。
- 攻击者在协同勒索软件攻击中部署多个恶意软件家族,利用用户对合法软件的信任绕过安全防护。
- 攻击展现出技术复杂性,涉及多个恶意软件,包括SectopRAT、SystemBC和Betruger。
- 攻击与三大勒索软件组织Play、RansomHub和DragonForce有关,可能涉及跨组织的附属机构。
- 攻击者通过启动文件夹快捷方式和创建本地管理员账户维持持久访问权限。
- 恶意软件链使用侦察工具进行环境测绘,主要依赖远程桌面协议(RDP)进行横向移动。
- 恶意软件采用进程注入技术,伪装成合法的Windows进程以规避安全检测。
- 持久化机制通过Windows后台智能传输服务(BITS)实现,确保系统重启后仍能执行。
- 攻击者使用时间戳篡改技术增加取证分析难度,干扰事件响应活动。
- 注册表修改禁用Windows Defender的核心功能,确保系统范围的影响。
- 恶意软件伪装成合法安全产品,降低用户和安全系统的怀疑。
- 数据外泄通过未加密的FTP连接进行,为事件响应团队提供有价值的情报。
❓
延伸问答
DeskSoft的EarthTime应用程序是如何被攻击者利用的?
攻击者伪装成DeskSoft的EarthTime应用程序,诱使用户下载并运行恶意程序,从而部署多个恶意软件。
此次网络攻击涉及哪些恶意软件家族?
此次攻击涉及多个恶意软件家族,包括SectopRAT、SystemBC和Betruger。
攻击者是如何维持持久访问权限的?
攻击者通过创建本地管理员账户和启动文件夹快捷方式来维持持久访问权限。
恶意软件是如何规避安全检测的?
恶意软件采用进程注入技术伪装成合法的Windows进程,并修改注册表禁用Windows Defender的核心功能。
此次攻击与哪些勒索软件组织有关?
此次攻击与Play、RansomHub和DragonForce等三大勒索软件组织有关。
攻击者如何进行数据外泄?
数据外泄通过未加密的FTP连接进行,使得凭据和传输细节以明文形式被捕获。
➡️
