攻擊美國石油管道的DarkSide雖已投降但相關威脅並未因此消除
在對Colonial Pipeline發起勒索軟件攻擊,引髮美國全國性公眾恐慌和天然氣價格暴漲之後,該事件的主導者DarkSide宣布投降,並同意為所有勒索軟件目標提供解密器。雖然該集團投降的消息令人振奮,但使用其勒索軟件的不良分子所構成的威脅並沒有消除。
援引RiskIQ 報導,安全研究人員發現與UNC2465 有關的一些基礎設施(該組織用來部署DarkSide 勒索軟件以外的惡意軟件)仍在運行,並可能構成威脅。
安全公司FireEye 表示,至少有一個黑客聯盟使用釣魚郵件和合法服務來提供SMOKEDHAM(基於PowerShell 的.NET 後門)。在FireEye 報告的一個LNK 文件,以及RiskIQ 通過互聯網情報發現的另一個LNK 文件中,在PowerShell 腳本中都連接到了相同的兩個URL。其中一個是Shopify 的鏈接,另一個FireEye 並沒有提及。DarkSide 關聯集團對Shopify 平台的使用並沒有在公開資料中公佈。
Shopify 是一個用於在線零售商和零售點系統的電子商務平台,據說已被網絡行為者用於數百次活動中。RiskIQ 的Shopify 鏈接指向另一個嵌入網站上一些VBScript 的URL,FireEye 聲稱該聯盟將其作為EMPIRE C2 使用。RiskIQ 在這個頁面上發現了一個重定向,指向第二個Shopify 鏈接,而這個鏈接又指向第三個。
這第三個Shopify 主機上託管的文件包含PowerShell 代碼,這就是FireEye 提到的SMOKEDHAM.NET 後門。RiskIQs 對該代碼的審查顯示,它能夠執行鍵盤記錄、屏幕截圖和執行任意.NET命令,所有這些都與FireEye對SMOKEDHAM的定義一致。
UNC2465獲得的數據被提交給一個服務器作為用戶代理,使用受害者當前的平台標識符和版本數量。這個主機利用了微軟Azure雲主機的優勢。雖然研究人員發現的主機已不再活躍,但截至5月17日,惡意文件以及C2仍在活躍。
據FireEye稱,UNC2628 組織已經與其他RaaS 供應商形成聯盟,如Sodinokibi(又名REvil)和Netwalker。RiskIQ在審查FireEye發布的BEACON C2時發現了一個與lagrom.com有關的惡意軟件樣本。根據VirusTotal的檢測,這個樣本是通過Cobalt Strike交付的Sodinokibi勒索軟件。
即使DarkSide RaaS不再運行,一些支持性的基礎設施仍在運行,並可以提供惡意軟件,儘管目前大多數都已經不再活躍。