情报分析显示,Vice Society 可能是Rhysida高级勒索组织的前身,因为两者的攻击武器库画像中有不少相似之处,且时间衔接线比较吻合。目前,在Rhysida组织用于拍卖和公开攻击对象数据的泄密网站上,列出了40多个攻击对象。Rhysida 的攻击对象遍布全球,其中,欧洲超50%位居第一,北美洲位居第二,亚太地区 (APAC)、中东和非洲地区均受到影响。这其中也包括国内相关企业及部门。
电信安全水滴实验室威胁追踪发现,Rhysida在2023年11月对国内一攻击对象发起持续6天的高级定向攻击,在2024年1月对国内某大型企业驻外机构进行高级定向攻击。因此,建议各企业、各部门重视该组织的攻击发展动态,及时排查内部威胁情况,建议采用关联威胁情报进行自查和针对性加固。
|
|
|
|
|
|
|
|
|
|
|
2023/11/4 6:48:15至2023/11/9 21:38:53
|
|
|
疑似钓鱼攻击,远程控制,内网横移、数据窃取、数据加密勒索
|
|
|
|
|
|
|
表1某攻击事件详情
据了解,Rhysida第一次出现的时间为2023年5月前后。据微软安全分析师追踪对比发现,Vice Society(DEV-0832)[ Vice Society:https://www.microsoft.com/en-us/security/blog/2022/10/25/dev-0832-vice-society-opportunistic-ransomware-campaigns-impacting-us-education-sector/]的活动与观察到的Rhysida 勒索软件部署的攻击者存在相似之处。尽管Rhysida已实现RAAS化运营模式,但与其他的活跃勒索组织存在差异。一般来说,活跃的勒索组织以攻击数量和非对称算法数据加密为主。其次,是窃取攻击对象数据实现“二次勒索”效果。而Rhysida更倾向于APT攻击模式的长期潜伏+内网横移+数据窃取,追求有针对性的攻击以及对敏感数据窃取,其次才是数据加密,攻击数量并非Rhysida的目标。
联合历史事件线索复盘Rhysida组织的攻击画像大致有以下流程:
1.常用钓鱼邮件方式向攻击对象终端中植入go编译的PortStarter商业远控木马,获取设备控制权限。为了隐蔽攻击或可视化操作,攻击者可能会使用anydesk进行远程控制;
4.利用ZeroLogon漏洞进行提权,获取更高域控权限;
5.利用secretsdump从系统中进行NTDS提取凭据和其他机密信息;
6.利用ntdsutil从域控提取并转储用户的哈希值数据库,窃取用户登录凭证;
7.通过RDP/Psexec.exe/Poershell/Putty等方式横移登录重要文件服务器、数据库和终端;
9.利用wevtutil.exe清除系统事件日志信息,清除痕迹;
10.最后在正常程序中注入加密木马执行数据加密,使用RAS & Chacha20 双重算法加密。
Rhysida 攻击者在攻击过程中,除了使用自研和商用的“PortStarter远控”武器组件外,为了避免终端安全监/检测软件发现,其在内网渗透过程中会尽可能利用微软工具包“PsTools”替代横移需求。各详细组件及其功能如下图:
攻击者在 C:drivers 驱动目录中创建了两个文件夹,分别标记为in和out,用作托管恶意可执行文件的暂存目录。in文件夹包含的文件名与受害者网络上的主机名一致,可能是通过扫描工具导入的;out文件夹包含下表中列出的各种文件。Rhysida 攻击者部署了这些工具和脚本进行内网攻击。
据统计,Rhysida团伙的攻击对象数量40多个,其中国内攻击对象只有2个,相比于其他勒索组织的批量式攻击,Rhysida团伙的攻击似有“墨鱼现象”,其攻击对象大都具有深度和影响力:例如2023年5月,Rhysida攻击智利陆军,7月份攻击了科威特卫生部,8月份攻击了美国医院集团,11月攻击了大英图书馆、斯洛文尼亚能源部和国内某企业等,都窃取了大量敏感数据并在暗网售卖。
图4 Rhysida攻击事件
回溯Rhysida组织某攻击事件多维信息并利用模型转化威胁风险分析。
图5 事件威胁风险指数分析
攻击者在11月4日06:53获取攻击对象内部终端远程控制权限,攻击对象出现远程回连攻击资产的威胁风险,攻击者开始对攻击对象持续6天内网渗透攻击。2023年11月8日 01:40,攻击对象出现高烈度的数据回传数仓资产;2023年11月9日 06:40,回传数仓威胁风险终止,但远程控制的回连仍然持续;2023年11月9日 21:00,远程控制回连中断,风险清除。
图6 事件攻击画像拟真复盘
综合分析Rhysida在国内外历史攻击事件画像可以发现:Rhysida每次攻击都具有针对性的攻击对象和明确的攻击目的。因此,与其说Rhysida是勒索团伙,不如说它是一个目的像勒索而手法像APT的高级勒索&APT结合体,其风险远超一般的勒索团伙或APT组织。综上所述,建议针对Rhysida组织的攻击防御从前置预警和联防联控两方面着手建设。
从企业侧评估,前置预警的目的在于:在攻击发生前落地,发现风险、修复风险、追踪风险、预警风险、拦截风险、直面风险,实现在风险之中如无风险之境。操作上,需要落实但不局限于以下几点:
8.自行常态化追踪勒索团伙动态早期前置预警攻击方向和风险动态,或订阅专业勒索团伙威胁追踪前置情报预警服务。
从执法、国家监管侧或行业安全协会和企业安全联盟侧评估,需要从大安全角度考虑安全防御,建设联防联控机制。
1.组建威胁狩猎团队,常态化追踪勒索团伙动态,早期前置预警(包括攻击方向和风险动态),或通过购买专业情报前置狩猎的方式,实现前置预警拦截和联防联控;
2.同源攻击资产做全网安全监测,发现风险及时定位,并做好联动预警响应;
3.根据联动预警攻击源IOC情报信息,威胁事件单位进行威胁响应自查,防止大范围内网横移。
后台回复关键词Rhysida团伙IOC,获取IOC详细列表。
主编:冯晓冬
原文始发于微信公众号(中国电信安全):独家情报 | 剖析Rhysida高级勒索团伙
