赛门铁克确定了勒索软件针对美国组织的攻击浪潮

攻击者正准备攻击数十家美国公司，其中包括八家财富500强公司

赛门铁克已识别出并警告客户，攻击者试图在其网络上部署WastedLocker勒索软件（Ransom.WastedLocker）对美国公司进行了一系列攻击。

这些攻击的最终目标是通过对受害者的大多数计算机和服务器进行加密来削弱受害者的IT基础架构，以要求获得数百万美元的赎金。

至少有31个客户组织受到了攻击，这意味着攻击的总数可能更高。

攻击者已经破坏了目标组织的网络，并且正在为进行勒索软件攻击奠定基础。

WastedLocker是一种相对较新的定向勒索软件，在NCC Group发布之前就已记录在案，而Symantec正在对受影响的网络进行扩展。WastedLocker被归因于臭名昭著的“ Evil Corp”网络犯罪组织。Evil Corp以前曾与Dridex银行木马和BitPaymer勒索软件相关联，据信这些勒索软件已经为其创建者赚取了数千万美元。两名涉嫌参与该组织的俄罗斯男子在美国对他们进行了公开起诉。

攻击始于一个名为SocGholish的基于JavaScript的恶意框架，该框架被跟踪到150多个受到威胁的网站，这些网站伪装成软件更新。攻击者一旦获得受害者网络的访问权限，便会结合使用Cobalt Strike商品恶意软件和许多远程工具来窃取凭据，升级特权并在网络上移动，以在其上部署WastedLocker勒索软件。多台计算机。

赛门铁克的“目标攻击云分析”在许多客户网络上主动检测到了这些攻击，该攻击利用先进的机器学习来发现与目标攻击相关的活动模式。赛门铁克的Threat Hunter团队（赛门铁克Endpoint Security完整产品的一部分）对该活动进行了审核，他们对该活动进行了验证，并很快意识到该活动与在WastedLocker攻击早期阶段看到的公开记录的活动密切相关。

这一发现使我们能够确定WastedLocker所针对的其他组织，并确定攻击者使用的其他工具，策略和过程，从而帮助我们加强针对攻击的每个阶段的保护。

图1. Symantec Endpoint Detection and Response（EDR）

迄今为止，赛门铁克已经发现了针对31个组织的攻击，所有组织都位于美国。绝大多数目标是大型公司，包括许多家喻户晓的公司。除了一些大型私人公司，还有11家上市公司，其中有八家是《财富》 500强公司。除一个目标组织外，所有目标组织均为美国所有，但一家跨国跨国公司在美国的子公司除外。

图2.按行业划分的WastedLocker目标

各个部门的组织遭到攻击。制造业是受影响最严重的部门，占五个目标组织。其次是信息技术（四个）和媒体与电信（三个）。如果攻击者没有受到干扰，成功的攻击可能会导致数百万美元的损失，停机并可能对供应链产生多米诺骨牌效应。

WastedLocker攻击如何展开

组织的最初危害是涉及SocGholish框架，该框架通过受损的合法网站以压缩文件的形式提供给受害者。赛门铁克已发现至少150个不同的合法网站，这些网站将流量引向托管SocGholish zip文件的网站。这些网站可能导致不同的恶意软件，因为这样的重定向服务可以同时被多个参与者使用。

该压缩文件包含恶意JavaScript，并会伪装成浏览器更新。然后，第二个JavaScript文件由wscript.exe执行。该JavaScript首先使用whoami，net user和net group等命令对计算机进行配置，然后使用PowerShell下载与发现相关的其他PowerShell脚本。

攻击的下一个阶段是部署“钴击”。PowerShell用于从公开报告的域中下载并执行加载程序，该域被报告为是作为WastedLocker攻击的一部分而提供了Cobalt Strike的。装载程序还与此报告的Cobalt Strike基础结构共享了一个命令和控制（C＆C）域。该加载器包含一个.NET注入器，据报道，该注入器也出现在WastedLocker攻击中。据报道，该注射器以及钴击信标的装载机均来自名为Donut的开源项目，该项目旨在帮助注入和执行内存中的有效载荷。

注入的有效负载称为“钴打击信标”，可用于执行命令，注入其他进程，提升当前进程或模拟其他进程以及上传和下载文件。攻击者将PowerView中 的Get-NetComputer命令 重命名为随机名称。然后看到该命令在Active Directory数据库中搜索所有服务器对象，并带有* server *或* 2003 *或* 7 *过滤条件（返回所有Windows Server，Windows Server 2003或Windows 7实例）。然后，攻击者将此信息记录在.tmp文件中。

使用包含软件许可用户界面工具（slui.exe）的公开记录的技术来执行特权升级，该工具是Windows命令行实用程序，负责激活和更新Windows操作系统。

攻击者使用Windows Management Instrumentation命令行实用程序（wmic.exe）在远程计算机上执行命令，例如添加新用户或执行其他已下载的PowerShell脚本。Cobalt Strike还用于使用ProcDump执行凭证转储并清空日志文件。

为了部署勒索软件，攻击者使用Windows Sysinternals工具PsExec启动合法的命令行工具来管理Windows Defender（mpcmdrun.exe），以禁用对所有下载的文件和附件的扫描，删除所有已安装的定义，以及在某些情况下在这种情况下，请禁用实时监视。

攻击者有可能使用多种技术来执行此任务，因为NCC报告怀疑为此目的使用了一种称为SecTool checker的工具。

然后，使用PsExec启动PowerShell，该PowerShell使用win32_service WMI类检索服务，并使用net stop命令停止这些服务。禁用Windows Defender并在组织中停止服务后，将使用PsExec来启动WastedLocker勒索软件本身，然后再开始加密数据并删除卷影。

对企业的直接威胁

构成这种威胁的攻击者似乎技能娴熟，经验丰富，能够穿透一些受保护程度最高的公司，窃取凭据并轻松地跨网络移动。因此，WastedLocker是一件非常危险的勒索软件。成功的攻击可能会使受害者的网络瘫痪，从而严重破坏其操作并进行昂贵的清理操作。

文章来源：symantec-enterprise-blogs

来源：安全圈123