研究人員發現了名為 Ymir 的新型勒索軟體,該軟體會在使用者系統遭 RustyStealer 竊密程式入侵兩天後被安裝。Ymir 結合了獨特的技術特徵和戰術,大幅提升了其攻擊效能。
攻擊者採用非常規的記憶體管理函數組合:malloc、memmove 和 memcmp,直接在記憶體中執行惡意程式碼。這種方法有別於常見勒索軟體的典型順序執行流程,大幅提升了其隱蔽性。
資安專家指出,若初期入侵者與後續部署勒索軟體的駭客為同一群人,這可能標誌著一個新趨勢:駭客正轉向開發更多自主攻擊方式,不再僅依賴現成的「勒索即服務」(RaaS)平台。
此次攻擊的特徵包括安裝 Advanced IP Scanner 和 Process Hacker 等工具。攻擊者還使用了兩個 SystemBC 惡意程式腳本,這些腳本能建立隱蔽通道,連接到遠端 IP 位址,目的是竊取超過 40KB 且在特定日期後創建的檔案。
該勒索軟體本身使用 ChaCha20 串流加密演算法來加密檔案,並在每個加密檔案後面加上「.6C5oy2dVr6」副檔名。
Ymir 具有高度靈活性,攻擊者可以使用 path 命令來指定勒索軟體應搜尋檔案的目錄。如果某個檔案在白名單中,勒索軟體就會跳過它,不進行加密。這個功能讓攻擊者能更精確地控制哪些檔案會被加密,哪些不會。
同時,研究人員發現 Black Basta 勒索軟體的攻擊者正利用 Microsoft Teams 聊天訊息與潛在目標互動。這些攻擊者結合惡意 QR Code 來引導受害者訪問詐騙網站,以獲得初始存取權限。攻擊者的可能動機是為後續的社交工程攻擊鋪路。他們試圖說服使用者下載遠端監控和管理(RMM)工具,藉此獲得對目標環境的初始存取權限,以安裝勒索軟體。
此外,出現了一些冒充 IT 支援人員的案例,企圖誘騙使用者透過 Quick Assist 授予遠端存取權限。微軟已於 2024 年 5 月針對此類技術發出警告。在這種語音釣魚攻擊中,威脅行為者會指示受害者安裝遠端桌面軟體(如 AnyDesk)或啟動 Quick Assist,藉此獲取系統的遠端控制權。
值得注意的是,這種攻擊的早期版本採用了大規模垃圾郵件戰術。攻擊者用數千封電子郵件淹沒員工的收件匣,然後冒充公司的 IT 人員,打電話給員工,聲稱要協助解決這個「垃圾郵件問題」進而開始攻擊。
隨著勒索軟體攻擊手法不斷翻新,犯罪組織也呈現分散化趨勢,這無疑為企業資安防禦帶來新的挑戰。然而,受害者數量增長速度未如犯罪組織般快速擴張,或許反映了組織機構的資安意識正在提升。面對這股揮之不去的資安威脅,企業除了需要持續強化自身防禦能力,也應與資安夥伴緊密合作,方能從容應對瞬息萬變的資安情勢。
本文轉載自 TheHackerNews。