账号:
密码:
最新动态
 
产业快讯
CTIMES/SmartAuto / 新闻 /
Sophos表明攻击者入侵伺服器长达5个月 部署Lockbit勒索软体
 

【CTIMES / SMARTAUTO ABC_1 报导】    2022年04月14日 星期四

浏览人次:【2593】

Sophos今日发布攻击者如何入侵并在美国地方政府伺服器中躲藏长达5个月的调查结果,攻击者甚至还利用该伺服器上网浏览可以帮助他们执行攻击的骇客和IT管理工具,并窃取资料和部署Lockbit勒索软体之前安装了一个加密挖矿程式。

最新文章《攻击者逗留在政府机构电脑上并部署Lockbit勒索软体》详细介绍了这些发现,并表明多个攻击者先後入侵了这一台易受攻击的伺服器。该攻击由Sophos事件回应团队加以遏阻和调查。

Sophos首席安全研究员Andrew Brandt表示:「这是一次非常混乱的攻击。透过与目标合作,Sophos研究人员能够勾勒出攻击的进展。一开始似??是没经验的新手入侵了这台伺服器,他们在网中四处寻找,并使用受感染伺服器在Google中搜寻盗版和免费的骇客与合法管理工具,以便用於後续攻击。不过接着他们似??不确定下一步该做什麽。」

Andrew Brandt进一步表示:「在最初的入侵事件发生後大约4个月,攻击出现变化,甚至在某些情况下变化非常大,代表有不同程度的攻击者已经加入战局。这些攻击者开始尝试移除安全软体。最终他们窃取了多台电脑上的资料,并部署Lockbit勒索软体加密档案。」

Sophos研究人员发现,攻击的起点是防火墙上的一个开放远端桌面通讯协(RDP)连接埠,该连接埠被设定为对外公开以存取伺服器。攻击者於2021年9月入侵了这台伺服器,然後使用这台伺服器上的浏览器上网搜寻可用於骇客攻击的工具并尝试安装它们。在某些情况下,攻击者搜寻时甚至被连线到会载入广告软体的地下网站而不是想要寻找的工具。

根据研究表明,攻击者的行为在1月中旬发生显着变化,出现了技术能力更强且专注的活动迹象。攻击者利用该电脑在完成维护後不慎停用保护功能的弱点,试图移除前一手安装的恶意加密挖矿程式并卸载安全软体。接着攻击者收集并窃取资料,然後部署Lockbit勒索软体。勒索软体攻击只成功了一部分,攻击者未能加密某些电脑上的资料。

攻击者试图安装的工具包括Advanced Port Scanner、FileZilla、LaZagne、mimikatz、NLBrute、Process Hacker、PuTTY、Remote Desktop Passview、RDP Brute Forcer、SniffPass和WinSCP,甚至还安装了商用的远端存取工具,包括ScreenConnect和AnyDesk。

Brandt表示:「若非IT部门的人员因特定用途下载这些工具,那麽当网路上的电脑出现它们时,就可能是受到或即将受到攻击的危险信号。意外或异常的网路活动,例如电脑会扫描网路,则是另一个可能的指标。此外在只能从网路内部存取的电脑上重复发生RDP登入失败,表明有人正使用暴力工具试图横向移动;同样的还有看到IT部门未安装或已经有一段时间没有使用的商用远端存取工具连线。」

Brandt进一步表示:「采用强大、主动且全天候运作的深度防御,将有助於防止此类攻击站稳脚跟并展开行动。最重要的第一步是先阻止攻击者存取网路,例如部署多因素验证和防火墙规则,以在没有VPN连线的情况下阻止远端存取RDP连接埠的行为。」

關鍵字: Sophos 
相关新闻
Sophos宣布新任总裁暨代理执行长
「全球网路安全日」重要性今胜於昔
Sophos:许多勒索软体集团蓄意发动远端加密攻击
Sophos:勒索软体集团利用媒体美化形象
Sophos:预期将出现使用AI的攻击技术并做好侦测准备
comments powered by Disqus
相关讨论
  相关文章
» 光通讯成长态势明确 讯号完整性一测定江山
» 分众显示与其控制技术
» 新一代Microchip MCU韧体开发套件 : MCC Melody简介
» 最隹化大量低复杂度PCB测试的生产效率策略
» 公共显示技术迈向新变革


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8BA0QV1ACSTACUKA
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw