CyberVolk Stealer

在快速发展的网络犯罪生态系统中,亲俄黑客组织 CyberVolk(又称 GLORIAMIST)已成为一个重大威胁。SentinelOne 最近的一份报告深入分析了该组织的活动、工具和联盟,描绘了一个利用先进网络能力与俄罗斯地缘政治利益保持一致的复杂组织。

CyberVolk 的根源可追溯到印度,其目前的形式出现于 2024 年 5 月。该组织最初以 “GLORIAMIST India ”和 “Soltsevskaya Bratva ”等名称为人所知,2024 年 6 月开始转向勒索软件即服务(RaaS)业务。SentinelOne 将 CyberVolk 描述为 “一个具有政治动机的黑客组织……该组织利用 DDoS 和勒索软件攻击来破坏和扰乱反对俄罗斯利益者的行动”。

CyberVolk 采用并修改了现有的恶意软件,以适应其目的,使用 DoubleFace、HexaLocker 和 Parano 等勒索软件。该组织的品牌勒索软件由一个名为 @ghostdoor_maldev 的著名成员开发,基于 AzzaSec 代码库。早期的迭代版本采用了 AES 加密算法,但最近的版本集成了 “ChaCha20-Poly1305 + AES + RSA + 量子抗性算法”,使得检测和缓解变得越来越具有挑战性。

CyberVolk勒索软件更令人担忧的一个方面是它使用了先进的策略,如终止任务管理器和MMC等关键进程,并为赎金支付设定了严格的期限。SentinelOne 指出:“CyberVolk 勒索软件支持 BTC 和 USDT 支付”,赎金要求通常设定为 1000 美元,解密时间为 5 小时。


CyberVolk 赎金说明

该组织的活动不仅限于勒索软件攻击。CyberVolk 发起了 #OpJP 等有针对性的活动,重点针对日本基金会和日本气象厅等日本实体。这些活动反映出该组织与俄罗斯在亚太地区的战略利益一致。

CyberVolk 还与 NONAME057(16) 和 LAPSUS$ 等多个黑客组织建立了联盟关系。然而,内部矛盾和内讧经常导致威胁格局的分裂和重塑。报告强调,“内讧、威胁和夸大的政治姿态很常见,导致黑客行动主义威胁格局的分裂和快速重塑”。

除勒索软件外,CyberVolk 还传播信息窃取程序和 webhell。最近发布的 “CyberVolk 窃取程序 ”基于 LBX-Grabber 代码,目标是敏感数据,如浏览器凭据、Discord 账户和加密货币钱包。此外,他们基于 PHP 的 webhell 为攻击者提供了强大的功能,包括文件操作和目录遍历。

CyberVolk 快速调整工具和战术的能力凸显了网络安全防御者所面临的挑战。SentinelOne 强调指出:“随着 CyberVolk 等组织利用公开提供的商品工具造成破坏的可能性越来越大,他们将继续增加更多的复杂性”。

文章原文链接:https://www.anquanke.com/post/id/302214