NCC Group 的研究人員透露，在過(guò)去幾個(gè)月中，攻擊者越來(lái)越多地攻陷企業(yè)網(wǎng)絡(luò)以竊取數(shù)據(jù)和勒索受害者，但并未中斷他們的運(yùn)營(yíng)。被稱(chēng)為SnapMC 的黑客組織試圖利用網(wǎng)絡(luò)服務(wù)器和VPN應(yīng)用程序中的多個(gè)漏洞進(jìn)行初始突破，通常會(huì)在30分鐘內(nèi)攻入受害者網(wǎng)絡(luò)。

　　該組織隨后會(huì)竊取受害者數(shù)據(jù)以利用它進(jìn)行勒索，但不會(huì)使用勒索軟件或其他方式來(lái)破壞受害者的運(yùn)營(yíng)。也就是說(shuō)，這個(gè)SnapMC 的新參與者出現(xiàn)在網(wǎng)絡(luò)犯罪領(lǐng)域，實(shí)施的是典型數(shù)據(jù)竊取勒索，它不執(zhí)行文件加密部分。文件加密被認(rèn)為是勒索軟件攻擊的核心組成部分，因?yàn)樗墙o受害者帶來(lái)操作中斷的元素。

　　SnapMC 威脅要在網(wǎng)上發(fā)布被盜數(shù)據(jù)，除非支付贖金，向受害者提供被盜數(shù)據(jù)列表作為網(wǎng)絡(luò)失陷的證據(jù)，甚至威脅要進(jìn)行下一步動(dòng)作。

　　攻擊者掃描網(wǎng)絡(luò)服務(wù)器應(yīng)用程序和VPN中的多個(gè)漏洞，使其能夠訪(fǎng)問(wèn)目標(biāo)環(huán)境。NCC Group 觀察到該組織利用Telerik UI for ASPX.NET 中的遠(yuǎn)程代碼執(zhí)行缺陷以及SQL 注入錯(cuò)誤。

　　注：Telerik UI的ASP.NET AJAX是web應(yīng)用程序中廣泛使用的一套UI組件。它存在不安全的JSON對(duì)象反序列化，導(dǎo)致在軟件的底層主機(jī)上任意遠(yuǎn)程執(zhí)行代碼。

　　在初始入侵成功之后，攻擊者執(zhí)行有效載荷以安裝用于遠(yuǎn)程訪(fǎng)問(wèn)的反向 shell。觀察到的有效載荷表明SnapMC 正在使用針對(duì)Telerik 的公開(kāi)可用的概念驗(yàn)證（POC）漏洞。

　　威脅行為者還使用 PowerShell 腳本進(jìn)行偵察，并在一種情況下嘗試提升權(quán)限。他們還部署了各種用于數(shù)據(jù)收集和滲漏的工具。

　　NCC集團(tuán)的威脅情報(bào)團(tuán)隊(duì)預(yù)測(cè)，數(shù)據(jù)泄露勒索攻擊將隨著時(shí)間的推移而增加，因?yàn)榕c全面的勒索軟件攻擊相比，它需要更少的時(shí)間，甚至更少的技術(shù)深度知識(shí)或技能。在勒索軟件攻擊中，對(duì)手需要在竊取數(shù)據(jù)和部署勒索軟件之前實(shí)現(xiàn)隱蔽潛伏并成為域管理員。而在數(shù)據(jù)泄露勒索攻擊中，大多數(shù)活動(dòng)甚至可以是自動(dòng)化的，花費(fèi)更少的時(shí)間，但仍有重大影響。因此，確保您能夠檢測(cè)到此類(lèi)攻擊，并擁有隨時(shí)可在短時(shí)間內(nèi)執(zhí)行的事件響應(yīng)計(jì)劃，這對(duì)于高效、有效地減輕SnapMC對(duì)您的組織構(gòu)成的威脅至關(guān)重要。

　　因此，NCC公司建議采取如下緩解措施，以積極應(yīng)對(duì)此類(lèi)攻擊。

　　首先，攻擊者的初始入侵突破通常是通過(guò)已知的漏洞實(shí)現(xiàn)的，這些漏洞存在補(bǔ)丁。及時(shí)打補(bǔ)丁和保持（互聯(lián)網(wǎng)連接）設(shè)備的更新是防止成為這些類(lèi)型攻擊的受害者的最有效的方法。通過(guò)（定期執(zhí)行）漏洞掃描，確保識(shí)別出駐留在您的網(wǎng)絡(luò)中易受攻擊的軟件。

　　此外，考慮到提供軟件包的第三方也可能使用易受攻擊的軟件組件，您無(wú)法直接訪(fǎng)問(wèn)該漏洞。因此，在您的組織和軟件供應(yīng)商之間有一個(gè)明確的相互理解和明確定義的關(guān)于補(bǔ)丁管理和保留政策的協(xié)議是很重要的。后者也適用于一種可能的義務(wù)，即讓你的供應(yīng)商為你提供系統(tǒng)，以便在發(fā)生事故時(shí)進(jìn)行取證和根本原因分析。

　　值得一提的是，當(dāng)參考測(cè)試特定版本的Telerik的可利用性時(shí)，很明顯，當(dāng)軟件組件位于配置良好的Web應(yīng)用程序防火墻（WAF）后面時(shí)，利用是不成功的。

　　最后，正確地實(shí)現(xiàn)檢測(cè)和事件響應(yīng)機(jī)制和流程可以極大地增加成功減輕對(duì)組織的嚴(yán)重影響的機(jī)會(huì)。及時(shí)的發(fā)現(xiàn)和有效的反應(yīng)將減少甚至在它成為現(xiàn)實(shí)之前的損害。

　　參考資源

　　1、https://research.nccgroup.com/2021/10/11/snapmc-skips-ransomware-steals-data/

　　2、https://www.securityweek.com/extortionist-hacker-group-snapmc-breaches-networks-under-30-minutes

　　3、