最近,觀察到乙個名為“Twisted Spiders”的網路犯罪團夥使用 STORM-1044 平台,該平台通過名為 Danabot 的初始訪問木馬感染目標端點。 一旦獲得訪問許可權,該團夥就會利用此訪問許可權來部署 Cactus 勒索軟體。
Microsoft安全研究人員在 Twitter 上表示,Storm-0216 團夥以利用 QakBot 基礎設施進行感染而聞名,但自從去年夏天執法部門拆除該行動以來,該團夥被迫轉向其他平台。
該公司解釋說:“最近在11月首次觀察到的Daanabot攻擊似乎使用了資訊竊取惡意軟體的私人版本,而不是惡意軟體即服務。 “補充說,Danabot 與合作夥伴一起提供實際的鍵盤活動。
一旦 STORM-1044 團夥竊取了必要的登入資訊,他們就會嘗試通過 RDP 登入在網路和端點之間橫向移動。 一旦他們獲得初始訪問許可權,該團夥就會將許可權傳遞給經線蜘蛛,後者將感染端點並安裝 Cactus 勒索軟體。
Cactus 似乎正在成為許多勒索軟體運營商的首選。 上週,Arctic Wolf 研究人員警告說,黑客濫用 Qlik Sense 資料分析解決方案中的三個漏洞來部署特定變體並竊取敏感的公司資訊。
根據Kroll的研究人員的說法,勒索軟體有一種獨特的方式來規避網路安全保護:“Cactus本質上是對自身進行加密,使其更難被發現,並幫助它逃避防病毒和網路監控工具。 Kroll的網路安全風險評估主管Laurie Iacono告訴Bleepingcomputer。
Cactus 是勒索軟體社群的新成員,於今年 3 月首次被發現。 該團夥通常會竊取敏感資料並加密系統,然後要求受害者支付加密貨幣以換取解密金鑰並保持資料的私密性。
乙個新的網路犯罪團夥 Twist Spider 使用 STORM-1044 平台進行勒索攻擊。
post by tech