一份新的讲述称,最近一系列的针对电子游戏公司的勒索软件攻击与臭名昭著的APT27威胁组织有亲切的关系,这表明高级持续性威胁(APT)正在改变已往的特工集中战术,转而接纳勒索软件举行攻击。

研究人员注重到此次攻击与APT27的 "亲切联系",它们作为供应链攻击的一部分,它们被引入了去年影响全球主要游戏公司的勒索软件攻击事宜的名单中。这些事宜的细节(包罗详细的公司名称和时间)很少。然而,虽然研究人员告诉Threatpost,他们无法说出详细的被攻击的游戏公司的名字,但他们示意已经有五家公司受到了攻击的影响。更主要的是,其中两家受影响的公司是 "世界上最大的公司之一"。

研究人员示意,APT27(又称Bronze Union、LuckyMouse和Emissary Panda),据说是在中国境内运营的一个威胁组织,自2013年以来就一直存在。 该组织向来是行使开源的工具来接入互联网,其攻击目的是为了网络政治和军事情报。而且,它此前一直在做网络特工和数据窃取方面的攻击,而不是仅仅为了款项利益而发动攻击。

Profero和Security Joes的研究人员在周一的团结剖析中指出:"此前,APT27并不是为了经济利益而发动攻击,因此此次接纳勒索软件的攻击计谋是很差别寻常的。然而此次事宜发生时,正值COVID-19在中国海内盛行,因此转为为了经济利益而发动攻击也就无独有偶了。"

供应链攻击

研究人员还示意,此次攻击是通过第三方服务商来举行攻击的,而且该服务商此前曾被另一家第三方服务商熏染。

在对该平安事宜举行更深一步的观察后,研究人员发现恶意软件样本与2020年头的一个名为DRBControl的攻击流动有关。趋势科技的研究人员此前发现了这个攻击流动,指出它与APT27和Winnti供应链攻击团伙有亲切联系。DRBControl后门攻击的特点是,它通过渗透攻击非法的赌钱公司,并使用Dropbox对其举行指挥控制(C2)通讯。

Profero和Security Joes的研究人员在最近的攻击流动中发现了和DRBControl "异常相似的样本"(他们称之为 "Clambling "样本,不外这个变种并没有Dropbox的功效。)

研究人员发现,DRBControl以及PlugX样本 ,都市使用Google Updater可执行文件来使自己加载到内存中,然而该可执行文件很容易受到DLL侧载攻击(侧载是指使用恶意DLL诱骗正当DLL,然后依赖正当Windows可执行文件执行恶意代码的历程)。研究人员示意,这两个样本都使用了经由署名的Google Updater,两个DLL都被标记为goopdate.dll。

,

欧博亚洲客户端

欢迎进入欧博亚洲客户端(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

研究人员说:"这两个样本的每一个样本都有一个正当的可执行文件,一个恶意DLL和一个由shellcode组成的二进制文件,它们卖力从自身提取有效载荷并在内存中举行运行"。

网络攻击者会通过对第三方公司举行渗透并获得了该公司系统的一个傀儡机后,为了协助横向移动攻击,会再部署一个ASPXSpy webshell。

研究人员示意,此次事宜中另一个特点是攻击的历程中使用了BitLocker对焦点服务器举行加密,BitLocker是Windows中内置的一个驱动器加密工具。

他们说:"这个是很有趣的,由于在许多情况下,攻击者会将勒索软件投放到受害者的机械上,而不是直接使用内陆工具举行攻击"。

APT27的线索

研究人员观察到此次攻击与APT27在战术、手艺和程序(TTPs)方面都存在着"极强的联系"。

研究人员举例说,他们发现DRBControl样本和之前已确认的APT27攻击程序之间有许多相似之处。此外,流动中使用的ASPXSpy webshell的修改版本此前也曾出现在APT27的网络攻击中。而在发现后门文件的同时,研究人员还发现了一个行使CVE-2017-0213升级权限举行攻击的二进制文件,CVE-2017-0213是APT27之前使用过的微软Windows服务器的一个破绽。

研究人员示意:"APT27已往曾行使这个破绽来举行升级权限。”

Profero首席执行官Omri Segev Moyal告诉Threatpost,除了与之前APT27使用的工具库相匹配之外,研究人员还注重到了与之前APT27发动攻击的代码的相似性很高;而且,这次攻击所使用的域和之前其他的APT27相关的攻击有很高的匹配度。

研究人员还指出,此次攻击的种种流程与之前的APT27攻击有相似之处,包罗用来执行差别函数的方式所使用的参数数目,以及使用DLL侧载攻击方式,主要的有效载荷存储在一个单独的文件中等等特征。

本文翻译自:https://threatpost.com/ransomware-major-gaming-companies-apt27/162735/: Allbet Gaming声明:该文看法仅代表作者自己,与www.allbetgame.us无关。转载请注明:usdt钱包(www.caibao.it):各大游戏公司遭遇与APT27有关的勒索软件攻击
发布评论

分享到:

《我就是这般女子》将播,关晓彤富家千金,全员高颜值期待值爆棚
1 条回复
  1. 联博统计接口
    联博统计接口
    (2021-01-16 00:01:02) 1#

    美国食物和药物管理局前局长 斯科特·戈特利布:现在确实可以看到,美国确诊病例数不停激增,我们正带着重大数目的确诊病例,进入可能是新冠病毒流传最危险的季节。真心实意推荐了

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。