資安業者Sophos揭露勒索軟體Atom Silo的攻擊,一旦電腦檔案遭到加密,就會顯示如圖中的勒索訊息,宣稱當事人只能向他們購買解密金鑰來換回檔案,若是超過1週而不付款,攻擊者將會公布檔案。
圖片來源: 

Sophos

團隊協作平臺Confluence的重大漏洞CVE-2021-26084,Atlassian甫於8月底修補完成,9月初就傳出遭到攻擊者利用,美國當局因此提出警告,呼籲用戶要儘速修補Confluence伺服器,不久之後,又有資安研究人員提出新發現:攻擊者已利用含有漏洞的Confluence來挖礦牟利(其中,持續整合(CI)工具Jenkins證實他們已棄用的協作平臺伺服器受害)。

現在,此項漏洞也被勒索軟體駭客盯上。資安業者Sophos於10月4日,揭露自9月中旬出現的Atom Silo勒索軟體攻擊行動,而在這起事故中,攻擊者入侵受害組織的管道,就是藉由上述的Confluence漏洞,再橫向感染其他處於相同區域網路的電腦。

關於Atom Silo的特徵,Sophos表示,它與LockFile幾乎相同,但攻擊者運用了一些新手法,而使得調查極為困難,例如,攻擊者使用側載惡意動態程式庫的方式,來中斷Sophos端點防毒軟體的運作。

透過協作平臺漏洞入侵,植入後門程式

關於此次勒索軟體的攻擊,是發生在9月24日,但其實駭客在9月13日,就攻擊受害組織的Confluence伺服器,侵入管道是物件圖導航語言(Object Graph Navigation Language,OGNL)注入漏洞CVE-2021-26084,對方經由程式碼注入攻擊而在受害者系統上形成了後門,使得攻擊者後續能夠下載作案工具並執行。

除了上述漏洞產生的後門,攻擊者透過惡意酬載於Confluence伺服器上,植入第2個後門程式──這個後門由3個檔案組成,其中一個為具有合法簽章的可執行檔案,攻擊者用來側載惡意DLL程式庫。

而這個惡意DLL檔案的啟動方式,是被冒充為可執行檔案所需的程式庫,與可執行檔案存放於相同的資料夾,以便讓可執行檔案運作時存取,這種手法被稱為DLL搜尋順序挾持(DLL Search Order Hijacking)。

至於該惡意檔案的作用,是讀取最後一個檔案mfc.ini,來解密並載入後門。

上述DLL載入的惡意程式碼內容,會使用TCP/IP的80連接埠,存取1個中繼站的主機名稱,程式碼一旦載入,攻擊者就能透過Windows管理介面(WMI),遠端執行Shell命令。接下來,駭客可以開始橫向移動,並在5個小時內入侵數臺伺服器。

利用核心驅動程式與駭客工具,讓防毒軟體無法正常運作

前述入侵工作完成之後,攻擊者一直到了9月24日,才再度行動。他們開始探索受害組織的重要伺服器,並遠端操作RClone軟體,將資料到外洩到攻擊者持有的雲端檔案同步服務(特定Dropbox使用者帳號的雲端儲存空間)。

等到資料傳輸完成,他們便將勒索軟體Atom Silo的相關檔案,上傳到網域控制器,再藉由群組原則的套用,感染網域裡的所有電腦。而在啟動勒索軟體之前,攻擊者也利用核心驅動程式檔案drv64.dll,來干擾受害電腦安裝的Sophos防毒軟體運作,並且停用Sophos的檔案掃描服務。

那麼,若是端點偵測與反應系統(EDR)遇到這個惡意軟體,又會是如何呢?Sophos表示,雖然他們的端點防護軟體Intercept X,能透過CryptoGuard功能偵測到勒索軟體,但攻擊者會接著發動第2波攻擊,將第2個攻擊執行檔,植入Windows的使用者桌面資料夾,使得防護遭到破壞,並且再度更新群組原則來執行Atom Silo。

熱門新聞

Advertisement