自2024年年中首次出現(xiàn)以來，名為"Hellcat"（地獄貓）的復(fù)雜勒索軟件已成為網(wǎng)絡(luò)安全領(lǐng)域的重大威脅。該惡意軟件迅速進(jìn)化其攻擊能力，專門針對政府部門、教育機(jī)構(gòu)和能源基礎(chǔ)設(shè)施等關(guān)鍵領(lǐng)域。

該組織不僅對數(shù)據(jù)進(jìn)行加密，還運(yùn)用心理戰(zhàn)術(shù)武器化手段，利用此前未知的漏洞來最大化對受害者業(yè)務(wù)的影響，從而提高贖金支付金額。

該勒索軟件采用RaaS（Ransomware-as-a-Service，勒索軟件即服務(wù)）模式運(yùn)營，允許附屬機(jī)構(gòu)部署惡意軟件，同時(shí)與開發(fā)者分享利潤。

這種商業(yè)模式加速了地獄貓?jiān)谌蚋餍袠I(yè)的擴(kuò)散，其攻擊手段也日趨復(fù)雜。

該組織采用雙重勒索策略，在加密前先竊取敏感數(shù)據(jù)，并威脅如果贖金要求得不到滿足將公開這些數(shù)據(jù)。

博通（Broadcom）研究人員發(fā)現(xiàn)地獄貓具備高級漏洞利用能力，能夠成功利用零日漏洞（包括最近發(fā)現(xiàn)的Atlassian Jira漏洞）在目標(biāo)環(huán)境中建立初始立足點(diǎn)。

分析顯示，地獄貓通過多階段攻擊方式展現(xiàn)出繞過傳統(tǒng)安全控制的卓越能力，采用反射式代碼加載技術(shù)直接在內(nèi)存中執(zhí)行惡意代碼，有效規(guī)避基于文件的安全解決方案檢測。

地獄貓已對多個(gè)行業(yè)的實(shí)體造成嚴(yán)重影響，成為全球組織的重大威脅。

安全專家觀察到針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊日益精準(zhǔn)的令人擔(dān)憂趨勢，表明該組織的戰(zhàn)術(shù)正變得更加精細(xì)，目標(biāo)選擇更具戰(zhàn)略性。

感染鏈與持久化機(jī)制

地獄貓的攻擊鏈?zhǔn)加谕ㄟ^魚叉式釣魚郵件（包含惡意附件）或利用面向公眾的應(yīng)用程序（通常借助零日漏洞）獲取初始訪問權(quán)限。

感染鏈（來源：博通）

成功入侵后，攻擊者會(huì)部署復(fù)雜的多階段PowerShell感染鏈，通過修改Windows注冊表運(yùn)行鍵值建立持久性，確保惡意腳本在用戶登錄時(shí)自動(dòng)執(zhí)行。

該P(yáng)owerShell腳本隨后連接到攻擊者控制的基礎(chǔ)設(shè)施下載后續(xù)有效載荷，同時(shí)采用AMSI（反惡意軟件掃描接口）繞過技術(shù)禁用或修改安全工具。

最后階段通過shellcode有效載荷部署SliverC2（一種命令控制框架），獲取對受感染環(huán)境的持久遠(yuǎn)程訪問權(quán)限。

為進(jìn)行橫向移動(dòng)，地獄貓利用Netcat和Netscan等"就地取材"二進(jìn)制文件，使其與合法網(wǎng)絡(luò)活動(dòng)融為一體，大大增加了檢測難度。