一种复杂的网络攻击已经出现,通过恶意冒充 DeskSoft 的合法 EarthTime 应用程序,在协调勒索软件行动中部署多个恶意软件家族,以组织为目标。
此次攻击代表了威胁行为者策略的令人担忧的演变,展示了如何将合法软件武器化以建立跨企业网络的持久访问。
当毫无戒心的用户下载并执行看似是 DeskSoft 的正版地球时间世界时钟实用程序时,入侵就开始了。然而,恶意可执行文件反而部署了 SectopRAT 恶意软件,建立了初始命令和控制通道。
这种欺骗性方法利用了用户对合法软件的熟悉程度,使得攻击在绕过初始安全意识措施方面特别有效。
该攻击展示了非凡的技术复杂性,威胁行为者部署了多个恶意软件系列,包括用于代理隧道的 SystemBC 和用于附加功能的 Betruger 后门。
DFIR 报告分析师确定了与三个主要勒索软件作(Play、RansomHub 和 DragonForce)的联系,这表明涉及跨多个勒索软件即服务平台运营的跨集团附属机构。
在最初的入侵之后,攻击者通过启动文件夹快捷方式建立持久性,并创建本地管理帐户以进行持续访问。
恶意软件链包括 AdFind、SharpHound 和 SoftPerfect NetScan 等侦察工具,可在横向移动活动开始之前实现全面的环境映射。
该攻击的主要横向移动机制严重依赖于远程桌面协议连接,并辅以 Impacket 的 wmiexec 实用程序。
这种组合使得攻击者能够通过SystemBC的代理功能,在保持运营安全的同时,穿越网段,有效地掩盖了其真实的网络来源。
高级持久性和规避机制
该恶意软件展示了复杂的防御规避技术,使检测和修复工作变得非常复杂。
初始EarthTime.exe可执行文件采用进程注入来破坏合法的 Windows 进程,特别是针对有效负载执行的MSBuild.exe。
这种技术允许恶意软件在受信任的 Microsoft 二进制文件的上下文中执行,从而可能规避依赖进程信誉的安全解决方案。
持久性机制通过使用 Windows 后台智能传输服务的多阶段方法运行。
该恶意软件将自身重新定位到 ,伪装成 Chrome 调试实用程序。C:\Users\<USER>\AppData\Roaming\QuickAgent2\ChromeAlt_dbg.exe
同时,它在 创建启动快捷方式,确保系统重新启动时执行的持久性。C:\Users\<USER>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeAlt_dbg.lnk
该攻击结合了时间戳纵技术,自动修改文件创建时间戳,使取证分析复杂化。
研究人员观察到,GT_NET.exe二进制在生成的文件上将未来日期设置为 2037 年,这可能会破坏事件响应活动期间的时间线重建。
注册表修改针对 Windows Defender 的核心功能,系统地禁用实时扫描、行为监控和网络保护功能。
这些更改发生在 中的策略级别,确保系统范围的影响在重新启动后持续存在并影响所有用户帐户。HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\
该恶意软件使用元数据欺骗来冒充合法的安全产品,二进制文件包含引用 SentinelOne 和 Avast Antivirus 的伪造版本信息。
这种复杂的伪装技术旨在减少用户和自动化安全系统的怀疑,因为这些系统在日常作中可能会遇到恶意可执行文件。
数据外泄通过未加密的 FTP 连接发生,使网络监控解决方案能够捕获凭据并以明文形式传输详细信息,为调查类似攻击的事件响应团队提供有价值的情报。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
