俄罗斯勒索软件团伙重组了其他APT组织的定制黑客工具

一项新的研究发现，一家讲俄语的勒索软件公司可能通过重新利用伊朗MuddyWater等其他APT组织开发的定制工具，针对欧洲和中美洲赌博和游戏行业的一家未具名实体。

以色列事件响应公司Security Joes的研究人员费利佩·杜阿尔特（Felipe Duarte）和伊多·纳奥尔（Ido Naor）在上周发布的一份报告中说，这一不同寻常的攻击链涉及滥用被盗凭证，获得对受害者网络的未经授权访问，最终导致在受损资产上部署钴打击有效载荷。

虽然感染在现阶段已得到控制，但研究人员将这一妥协定性为疑似勒索软件攻击。

据称，入侵发生在2022年2月，攻击者利用了ADFind、NetScan、SoftPerfect和LaZagne等攻击后工具。还使用了AccountRestore可执行文件来强制执行管理员凭据，以及名为Ligolo的反向隧道工具的分叉版本。

修改后的版本名为Sockbot，是一个Golang二进制文件，旨在以隐蔽和安全的方式将内部资产从受损网络暴露到互联网。对恶意软件所做的更改消除了使用命令行参数的需要，并包括了一些执行检查，以避免运行多个实例。

鉴于Ligolo是伊朗民族国家组织MuddyWater选择的主要工具，使用Ligolo叉子增加了攻击者使用其他组织使用的工具并加入自己的签名的可能性，可能是为了混淆归属。

与说俄语的勒索软件组的链接来自与常见勒索软件工具包重叠的工件。此外，其中一个已部署的二进制文件（AccountRestore）包含俄语硬编码引用。

研究人员说：“威胁行为人使用的策略是访问和转移受害者的基础设施，让我们看到一个持久的、复杂的敌人，他们有一些编程技能、红队经验和明确的目标，这与常规脚本中的儿童形象相去甚远”。

“此次入侵的入口点是一组受损的凭证，这一事实再次证明了对任何组织中的所有不同资产应用额外访问控制的重要性”。