近期出现了一场针对企业组织的复杂勒索软件攻击,攻击者通过被盗的第三方托管服务提供商(MSP)凭据发起攻击,展现了 2025 年网络犯罪分子不断演变的攻击手段。
Sinobi 组织作为 “勒索软件即服务”(Ransomware-as-a-Service,RaaS)联盟成员,成功入侵企业网络 —— 其手段是利用 SonicWall SSL VPN 凭据,而这些凭据关联到权限过高、拥有域管理员权限的 Active Directory(活动目录)账户。
此次攻击活动体现了一个值得警惕的趋势:威胁行为者利用可信的第三方关系获取初始网络访问权限,从而绕过传统的边界防御措施。
攻击者进入网络后,通过创建新的管理员账户建立持久化访问,并在受入侵的基础设施中横向移动,最终在本地和共享网络驱动器上部署 Sinobi 勒索软件有效载荷。
eSentire(网络安全公司)的分析师发现,Sinobi 勒索软件与此前已知的 Lynx 勒索软件存在大量代码重叠,这表明 Sinobi 可能是 2024 年首次出现的 Lynx 勒索软件即服务(RaaS)业务的 “品牌重塑” 版本。
安全研究人员有中等把握指出,Lynx 组织很可能通过地下黑客论坛,从一名名为 “salfetka” 的用户手中购买了 INC 勒索软件的源代码 —— 这一现象凸显了勒索软件开发工具的商业化趋势。
该恶意软件的技术成熟度体现在其系统性的操作流程中:先禁用安全控制措施,再最大化加密造成的影响。
获得访问权限后,威胁行为者尝试通过 Revo 卸载器(Revo Uninstaller)和命令行操作卸载 Carbon Black EDR(终端检测与响应工具),最终在映射网络驱动器上发现注销代码后,成功完成卸载。
Sinobi 勒索软件采用了强大的加密实现方案,结合 Curve-25519 Donna 算法与 AES-128-CTR 加密算法,若没有攻击者的私钥,文件恢复将无从谈起。
该恶意软件通过 CryptGenRandom 函数为每个文件生成唯一的加密密钥,确保加密密钥生成过程的密码学安全性,从而彻底断绝了潜在的解密可能。
在执行加密操作前,勒索软件会通过复杂技术系统化地准备目标环境:利用 DeviceIOControl 函数与 IOCTL_VOLSNAP_SET_MAX_DIFF_AREA_SIZE 控制代码,删除卷影副本(用于文件恢复的备份文件)。
恶意软件会执行以下命令序列:
sc config cbdefense start= disabled
cmd /c sc config cbdefense binpath= "C:\programdata\bin.exe" & shutdown /r /t 0
(注:上述命令的功能为 “禁用 Carbon Black EDR 服务”,并将服务执行路径篡改为恶意程序 “bin.exe”,随后立即重启设备以生效)
数据窃取通过合法的云传输工具 RClone 实现,攻击者将窃取的信息传输至 Global Connectivity Solutions LLP 运营的服务器 —— 该托管服务商在多起网络攻击事件中均有出现。
Sinobi 勒索软件会将加密后的文件添加.SINOBI扩展名,并部署包含勒索通知的 README.txt 文件。该通知中包含基于 Tor 网络的通信渠道和付款说明,要求受害者在 7 天内进行谈判,否则被盗数据将被发布到暗网泄露网站。
此次攻击事件凸显了两项措施的关键重要性:一是对远程访问账户实施严格的权限管理,二是避免将安全工具的注销代码存储在可轻易访问的网络位置。
- SonicWall SSL VPN:SonicWall(飞塔)公司推出的 SSL VPN(安全套接层虚拟专用网络)解决方案,常用于企业远程员工安全访问内部网络。
- Ransomware-as-a-Service(RaaS,勒索软件即服务):一种恶意商业模式,攻击者开发勒索软件后,以订阅或分成形式向其他攻击者提供使用权限,降低勒索攻击的技术门槛。
- Active Directory(AD,活动目录):微软推出的目录服务,用于管理企业网络中的用户账户、计算机、权限等资源,域管理员账户拥有对整个域的最高控制权限。
- Curve-25519 Donna:一种高效的椭圆曲线加密算法,常用于生成安全的密钥对,广泛应用于各类加密通信场景。
- AES-128-CTR:高级加密标准(AES)的一种工作模式,“128” 指密钥长度为 128 位,CTR(计数器模式)通过计数器生成加密流,适用于需要高效加密大量数据的场景。
- Tor 网络:一种匿名通信网络,可隐藏用户的 IP 地址和通信内容,常被攻击者用于建立难以追踪的命令与控制通道或发布恶意信息。
红客联盟·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
