RansomHub 关联者使用新型 Python 后门进行网络持久性攻击
重点摘要
疑似 RansomHub 关联者利用新型 Python 后门实现对受害者网络的持久性控制。该后门代码显示出潜在的 AI 辅助编码迹象。攻击者通过远程桌面协议 (RDP) 在受害者网络中横向传播。相较于前一版本,该后门软件进行了多项改进,例如使用 Pyobfuscate 工具进行混淆。根据 GuidePoint Security 去年晚些时候记录的事件,一名疑似的 RansomHub 关联者使用了一种新型的 Python 后门在受害者的网络上建立了持久性。研究人员在周三发布的 GuidePoint Security GRIT 博客文章 中提到,这段 Python 后门代码显示出潜在的 AI 辅助编码迹象。该恶意软件通过使用远程桌面协议RDP会话在受害者网络中横向传播,最初访问是通过下载疑似的 SocGholish 恶意软件实现的。
GuidePoint 指出,ReliaQuest 早前发现 SocGholish 感染与该后门早期版本之间的联系。在 GuidePoint 观察的事件中,此攻击链以在整个网络中部署 RansomHub 加密器作为结束。
研究人员发现,该后门恶意软件自从 ReliaQuest 在 2024 年 2 月首次发现以来经历了一些变化,包括使用 Pyobfuscate 工具进行混淆、使用 RDP 进行网络横向感染,以及攻击者所使用的新 C2 地址。
迅猛兔加速器安装下载GuidePoint 识别出与该后门的 C2 基础设施相关的十八个 IP 地址,这些地址在博客发布时仍然活跃。研究人员表示,他们将继续记录与该后门相关的 IP 地址,通过 C2IntelFeeds 进行更新。
在初始访问后,攻击者在大约 20 分钟内在第一台受害者机器上投放 Python 后门,采取五个步骤感染机器并建立持久性。首先,攻击者移动到目标文件夹“connecteddevicesplatform”,然后安装 Python 并设置 pip 包管理器以安装恶意软件所需的 Python 库。
接下来,攻击者创建了一个 Python 代理脚本,最后利用 Windows 计划任务来建立持久性。该 Python 脚本充当反向代理,并使用重度基于 SOCKS5 协议的隧道,尽管该协议并未完全实现。
研究人员指出,经过解混淆的 Python 代码显示出 AI 辅助的迹象,包括过于描述性的方法名称和变量、冗长的调试消息,以及针对不支持的地址类型和未实现的 SOCKS5 协议部分的详细日志记录。
该后门通过 TCP 连接连接到硬编码的 IP 地址,并建立 SOCKS5 类似的隧道,以利用受感染的受害者机器作为代理在受害者网络中横向移动。研究人员表示,这种恶意软件仅支持 TCP 隧道流量,并不支持 IPv6 地址。
2024 年 9 月在 VirusTotal 上传的类似版本恶意软件显示未被任何杀毒服务检测到,体现了它在建立持久性时能够逃避检测的能力。
据 ESET 报告,RansomHub 是 2024 年下半年最活跃的勒索软件服务组织,自年初以来已针对近 500 个受害者进行攻击。RansomHub 关联者采用多种方法感染受害者以逃避检测并在网络中传播,包括使用 杀死 EDR 的恶意软件、利用未修补的漏洞,以及使用远程桌面协议、PsExec、Anydesk、Connectwise 和其他合法服务, CISA 曾在一份警告中提到。
使用生成型 AI 辅助恶意软件代码编写和编辑的趋势日益显著,已发现的 AI 使用特征
