The Hacker News 網(wǎng)站披露，網(wǎng)絡安全研究人員發(fā)現(xiàn)一種名為 CACTUS 的新型勒索軟件正在利用 VPN 設備中的漏洞，對大型商業(yè)實體進行網(wǎng)絡攻擊。

Kroll 公司在與 The Hacker News 分享的一份報告中表示 CACTUS 一旦進入受害者網(wǎng)絡系統(tǒng)，就開始嘗試枚舉本地帳戶、網(wǎng)絡用戶帳戶以及可訪問的端點，創(chuàng)建新用戶帳戶，隨后利用自定義腳本通過預定任務自動部署和“引爆”勒索軟件加密器。

CACTUS  善于利用各種工具

自 2023 年 3 月以來，安全研究人員多次觀察到 CACTUS 勒索軟件一直針對大型商業(yè)實體。此外，網(wǎng)絡攻擊者采用了雙重勒索策略，在加密前竊取敏感數(shù)據(jù)。值得一提的是，截至目前為止尚未發(fā)現(xiàn)任何數(shù)據(jù)泄露。

CACTUS 惡意軟件利用存在漏洞 VPN 設備后，進入目標系統(tǒng)，設置一個 SSH 后門，以謀求后續(xù)能夠“長久”入侵。在完成上述步驟后，開始執(zhí)行一系列 PowerShell 命令進行網(wǎng)絡掃描，并確定用于加密的計算機列表。

此外，在 CACTUS 惡意軟件攻擊過程中，還利用 Cobalt Strike 和 Chisel 隧道工具進行命令和控制，同時也“積極”利用 AnyDesk 等遠程監(jiān)控和管理（RMM）軟件向受感染的主機推送文件。安全研究人員還觀察到 CACTUS  惡意軟件感染過程中禁用和卸載目標系統(tǒng)的安全解決方案，以及從 Web 瀏覽器和本地安全子系統(tǒng)服務（LSASS）中提取憑證以提升自身權限。

CACTUS 惡意軟件權限提升主要通過橫向移動、數(shù)據(jù)滲出和贖金軟件部署來實現(xiàn)，其中贖金軟件是通過 PowerShell 腳本實現(xiàn)的（Black Basta 也使用過類似方法）。

Cactus 與其它惡意軟件存在明顯差異

與其它勒索軟件相比，Cactus 的不同之處在于其使用加密來保護勒索軟件二進制文件，Kroll 負責網(wǎng)絡風險的副董事總經(jīng)理 Laurie Iacono 向 The Hacker News 透漏，CACTUS 本質(zhì)上是對自身進行加密，使其更難檢測，并幫助其避開防病毒和網(wǎng)絡監(jiān)控工具。（CACTUS 勒索軟件使用批處理腳本提取 7-Zip 的勒索軟件二進制文件，然后在執(zhí)行有效負載之前刪除 .7z 檔案。)

Cactus 勒索軟件存在三種主要的執(zhí)行模式，每種模式都使用特定的命令行開關進行選擇：設置(-s)、讀取配置(-r)和加密(-i)。-s和-r參數(shù)允許威脅攻擊者設置持久化并將數(shù)據(jù)存儲在 C: ProgramData ntuser.dat 文件中，加密器稍后在使用 -r 命令行參數(shù)運行時讀取該文件。

從研究人員的分析結果來看，CACTUS 勒索軟件變體主要通過利用 VPN 設備中的漏洞，侵入目標受害者網(wǎng)絡，這表明部分威脅攻擊者一直在對遠程訪問服務和未修補的漏洞，進行初始入侵。 幾天前，趨勢科技也發(fā)現(xiàn)名為 Rapture 的勒索軟件，它的整個感染鏈最多可持續(xù)三到五天。

最后，研究人員強調(diào)有理由懷疑，攻擊活動是通過易受攻擊網(wǎng)站和服務器促進入內(nèi)部系統(tǒng)的，因此實體組織必須采取措施保持系統(tǒng)的最新狀態(tài)，并執(zhí)行最低特權原則（PoLP）。

參考文章：

• https://thehackernews.com/2023/05/new-ransomware-strain-cactus-exploits.html；
• http://news.sohu.com/a/674128507_469619