《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 新型數(shù)據(jù)勒索黑客組織SnapMC最快30分鐘即可突破受害者網(wǎng)絡(luò)

新型數(shù)據(jù)勒索黑客組織SnapMC最快30分鐘即可突破受害者網(wǎng)絡(luò)

2021-10-19
來源:網(wǎng)空閑話
關(guān)鍵詞: 新型數(shù)據(jù) 勒索

  NCC Group 的研究人員透露,在過去幾個月中,攻擊者越來越多地攻陷企業(yè)網(wǎng)絡(luò)以竊取數(shù)據(jù)和勒索受害者,但并未中斷他們的運(yùn)營。被稱為SnapMC 的黑客組織試圖利用網(wǎng)絡(luò)服務(wù)器和VPN應(yīng)用程序中的多個漏洞進(jìn)行初始突破,通常會在30分鐘內(nèi)攻入受害者網(wǎng)絡(luò)。

  該組織隨后會竊取受害者數(shù)據(jù)以利用它進(jìn)行勒索,但不會使用勒索軟件或其他方式來破壞受害者的運(yùn)營。也就是說,這個SnapMC 的新參與者出現(xiàn)在網(wǎng)絡(luò)犯罪領(lǐng)域,實施的是典型數(shù)據(jù)竊取勒索,它不執(zhí)行文件加密部分。文件加密被認(rèn)為是勒索軟件攻擊的核心組成部分,因為它正是給受害者帶來操作中斷的元素。

  SnapMC 威脅要在網(wǎng)上發(fā)布被盜數(shù)據(jù),除非支付贖金,向受害者提供被盜數(shù)據(jù)列表作為網(wǎng)絡(luò)失陷的證據(jù),甚至威脅要進(jìn)行下一步動作。

  攻擊者掃描網(wǎng)絡(luò)服務(wù)器應(yīng)用程序和VPN中的多個漏洞,使其能夠訪問目標(biāo)環(huán)境。NCC Group 觀察到該組織利用Telerik UI for ASPX.NET 中的遠(yuǎn)程代碼執(zhí)行缺陷以及SQL 注入錯誤。

  注:Telerik UI的ASP.NET AJAX是web應(yīng)用程序中廣泛使用的一套UI組件。它存在不安全的JSON對象反序列化,導(dǎo)致在軟件的底層主機(jī)上任意遠(yuǎn)程執(zhí)行代碼。

  在初始入侵成功之后,攻擊者執(zhí)行有效載荷以安裝用于遠(yuǎn)程訪問的反向 shell。觀察到的有效載荷表明SnapMC 正在使用針對Telerik 的公開可用的概念驗證(POC)漏洞。

  威脅行為者還使用 PowerShell 腳本進(jìn)行偵察,并在一種情況下嘗試提升權(quán)限。他們還部署了各種用于數(shù)據(jù)收集和滲漏的工具。

  NCC集團(tuán)的威脅情報團(tuán)隊預(yù)測,數(shù)據(jù)泄露勒索攻擊將隨著時間的推移而增加,因為與全面的勒索軟件攻擊相比,它需要更少的時間,甚至更少的技術(shù)深度知識或技能。在勒索軟件攻擊中,對手需要在竊取數(shù)據(jù)和部署勒索軟件之前實現(xiàn)隱蔽潛伏并成為域管理員。而在數(shù)據(jù)泄露勒索攻擊中,大多數(shù)活動甚至可以是自動化的,花費(fèi)更少的時間,但仍有重大影響。因此,確保您能夠檢測到此類攻擊,并擁有隨時可在短時間內(nèi)執(zhí)行的事件響應(yīng)計劃,這對于高效、有效地減輕SnapMC對您的組織構(gòu)成的威脅至關(guān)重要。

  因此,NCC公司建議采取如下緩解措施,以積極應(yīng)對此類攻擊。

  首先,攻擊者的初始入侵突破通常是通過已知的漏洞實現(xiàn)的,這些漏洞存在補(bǔ)丁。及時打補(bǔ)丁和保持(互聯(lián)網(wǎng)連接)設(shè)備的更新是防止成為這些類型攻擊的受害者的最有效的方法。通過(定期執(zhí)行)漏洞掃描,確保識別出駐留在您的網(wǎng)絡(luò)中易受攻擊的軟件。

  此外,考慮到提供軟件包的第三方也可能使用易受攻擊的軟件組件,您無法直接訪問該漏洞。因此,在您的組織和軟件供應(yīng)商之間有一個明確的相互理解和明確定義的關(guān)于補(bǔ)丁管理和保留政策的協(xié)議是很重要的。后者也適用于一種可能的義務(wù),即讓你的供應(yīng)商為你提供系統(tǒng),以便在發(fā)生事故時進(jìn)行取證和根本原因分析。

  值得一提的是,當(dāng)參考測試特定版本的Telerik的可利用性時,很明顯,當(dāng)軟件組件位于配置良好的Web應(yīng)用程序防火墻(WAF)后面時,利用是不成功的。

  最后,正確地實現(xiàn)檢測和事件響應(yīng)機(jī)制和流程可以極大地增加成功減輕對組織的嚴(yán)重影響的機(jī)會。及時的發(fā)現(xiàn)和有效的反應(yīng)將減少甚至在它成為現(xiàn)實之前的損害。

  參考資源

  1、https://research.nccgroup.com/2021/10/11/snapmc-skips-ransomware-steals-data/

  2、https://www.securityweek.com/extortionist-hacker-group-snapmc-breaches-networks-under-30-minutes

  3、

https://www.bleepingcomputer.com/news/security/snapmc-hackers-skip-file-encryption-and-just-steal-your-files/




電子技術(shù)圖片.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。