一种新发现的名为 Cephalus 的勒索软件已成为一种复杂的威胁,通过受损的远程桌面协议 (RDP) 连接来攻击组织。
该恶意软件的名字来源于希腊神话,指的是赫尔墨斯的儿子,他用万无一失的标枪悲惨地杀死了他的妻子,代表了勒索软件部署技术的令人担忧的演变。
Cephalus 通过其独特的感染方法和复杂的规避策略将自己与其他勒索软件家族区分开来。
恶意软件运营商通过利用缺乏多重身份验证 (MFA) 的 RDP 凭据来获得对目标网络的初始访问权限,该漏洞继续困扰着全球组织。
一旦进入网络,攻击者就会在部署勒索软件有效负载之前利用 MEGA 云存储平台进行数据泄露。
勒索软件部署机制涉及一种特别聪明的方法,使用通过合法安全软件组件进行 DLL 侧载。
Huntress 分析师在调查 2025 年 8 月 13 日和 8 月 16 日发生的两起独立事件时发现了这种技术,该恶意软件成功渗透到运行合法 SentinelOne 安全产品的组织中。
DLL 侧加载和执行链
Cephalus 在技术上最有趣的方面在于它的部署策略,该策略利用了一个名为 的合法 SentinelOne 可执行文件。SentinelBrowserNativeHost.exe
勒索软件运营商将此合法二进制文件放置在用户的 Downloads 文件夹中,从中加载名为 的恶意 DLL 。SentinelAgentCore.dll
该 DLL 随后加载一个名为包含实际勒索软件代码的文件,创建有助于逃避检测的多阶段执行链。data.bin
成功执行后,Cephalus 会立即通过运行嵌入式命令开始系统恢复预防。
执行的第一个命令是 ,它消除了可用于文件恢复的卷影副本。vssadmin delete shadows /all /quiet
然后,恶意软件通过一系列 PowerShell 命令系统地禁用 Windows Defender,这些命令为关键系统进程和文件扩展名(包括 .cache、.tmp、.dat 和 .sss 文件)创建排除项。
勒索软件进一步修改 Windows 注册表项以禁用实时保护、行为监控和访问保护功能。
它通过使用隐藏窗口样式和绕过的执行策略执行的 PowerShell 命令停止和禁用 Windows Defender 服务,包括 SecurityHealthService、Sense、WinDefend 和 WdNisSvc。
Cephalus 赎金票据包含一个独特的特征——它们引用了有关之前成功攻击的新闻文章,试图建立可信度并为受害者创造紧迫感。
该恶意软件会加密扩展名为 .sss 的文件,并创建包含付款说明的recover.txt文件。
组织可以通过实施 MFA 进行 RDP 访问、监控在异常位置未经授权使用合法安全工具可执行文件以及维护全面的端点检测功能来保护自己。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
