BlackSuit勒索活动伪造Zoom钓鱼攻击手法分析
💡
原文中文,约17300字,阅读约需41分钟。
📝
内容提要
攻击者通过伪装的Zoom安装程序植入SectopRAT木马,潜伏九天后释放Cobalt Strike等工具进行横向移动,利用RDP深入内网,最终通过PsExec在所有受控系统上部署BlackSuit勒索软件,完成数据加密和外泄。
🎯
关键要点
- 攻击者通过伪装的Zoom安装程序植入SectopRAT木马。
- SectopRAT在潜伏九天后释放Cobalt Strike和Brute Ratel等工具。
- 攻击者利用RDP协议深入内网,进行横向移动。
- 部署具备代理功能的恶意工具QDoor,实现流量中继与身份隐藏。
- 攻击者使用WinRAR将敏感文件打包压缩,并上传至Bublup云平台,完成数据外泄。
- 最终通过PsExec在所有受控系统上部署BlackSuit勒索软件,进行数据加密和外泄。
- 攻击过程分为五个阶段:伪装与投递、多层加载与持久化、横向渗透、隐蔽隧道与数据窃取、最终打击。
- 攻击者利用合法工具和服务进行隐蔽操作,规避EDR检测。
- 攻击者通过伪造Zoom官网诱导用户下载恶意安装包,突破企业网络边界。
- 攻击者在入侵过程中使用多种命令和控制通道,包括SectopRAT、Brute Ratel、QDoor和Cobalt Strike。
❓
延伸问答
BlackSuit勒索软件是如何被部署的?
攻击者通过PsExec在所有受控系统上部署BlackSuit勒索软件,进行数据加密和外泄。
攻击者是如何伪装成Zoom的?
攻击者伪装成Zoom的方式是通过一个高度仿真的钓鱼网站,诱导用户下载伪造的Zoom安装程序。
SectopRAT木马的作用是什么?
SectopRAT木马用于远程控制,潜伏九天后释放其他渗透工具,为后续攻击铺平道路。
攻击者如何实现数据外泄?
攻击者使用WinRAR将敏感文件打包压缩,并上传至Bublup云平台,完成数据外泄。
攻击过程分为几个阶段?
攻击过程分为五个阶段:伪装与投递、多层加载与持久化、横向渗透、隐蔽隧道与数据窃取、最终打击。
攻击者如何规避EDR检测?
攻击者利用合法工具和服务进行隐蔽操作,规避EDR检测。
🏷️
标签
➡️
