每周安全速递³²⁹|Phorpiex僵尸网络传播LockBit勒索软件
发布时间:2025-02-08
阅读次数: 619 次
Phorpiex僵尸网络传播LockBit勒索软件
近日Phorpiex僵尸网络与LockBit勒索软件的合作模式引发安全研究人员关注,Phorpiex被用于自动化分发LockBit勒索软件,减少了人类操作的介入。LockBit凭借快速加密与双重勒索策略,持续对多个行业构成严重威胁,包括金融、运输和能源等领域。与此同时,Phorpiex通过网络钓鱼邮件传播,利用恶意附件部署勒索软件,展现其代码混淆、反沙盒检测及持久性机制等特点。尽管Phorpiex代码库自2021年后变化不大,但其攻击方式仍具高度隐蔽性。
https://www.cybereason.com/blog/threat-analysis-phorpiex-downloader印度科技巨头塔塔科技有限公司(Tata Technologies Ltd.)遭遇勒索软件攻击,被迫暂停部分IT服务。塔塔科技是塔塔汽车的子公司,专注于汽车设计、航空航天工程和研发工程,是印度科技领域的重要参与者。该公司在向印度国家证券交易所提交的公告中确认了此事件并表示,现已恢复受影响的IT服务,且正与网络安全专家合作进行调查。目前尚无组织声称对此次攻击负责,也未确认是否有数据被窃取或泄露。
参考链接:
https://www.documentcloud.org/documents/25510470-tata/#document/p1勒索团伙利用SSH隧道隐秘访问VMware ESXi近日,网络安全公司Sygnia报告称,勒索软件团伙正利用SSH隧道技术隐秘访问VMware ESXi裸机虚拟机管理程序,以在系统中持久驻留并保持隐蔽。VMware ESXi在虚拟化环境中扮演关键角色,能够在一台物理服务器上运行多个虚拟机。然而,由于其通常缺乏有效监控,成为黑客攻击的目标。攻击者通过利用已知漏洞或窃取管理员凭证,滥用ESXi内置的SSH服务,建立持久性访问、横向移动并部署勒索软件。由于许多组织未主动监控ESXi的SSH活动,攻击者能够隐秘操作。Sygnia指出,ESXi日志分散在多个文件中,导致监控存在盲区,攻击者常通过清除日志或修改时间戳掩盖痕迹。
https://www.sygnia.co/blog/esxi-ransomware-ssh-tunneling-defense-strategies/安全研究人员发现,Morpheus和HellCat两款新兴勒索软件共享相同代码库,显示两者可能由相同开发工具构建。SentinelOne分析显示,这些恶意软件样本仅在受害者信息与攻击者联系方式上有所区别。两款勒索软件均通过Windows加密API使用BCrypt算法生成加密密钥,排除了\Windows\System32目录及部分文件扩展名(如.dll、.sys)进行加密,但加密后文件扩展名和元数据保持不变。此外,其勒索信模板与2023年出现的Underground Team相似,但功能实现有所差异。
参考链接:
https://www.sentinelone.com/blog/hellcat-and-morpheus-two-brands-one-payload-as-ransomware-affiliates-drop-identical-code/