#APT破表#APT组织再次活跃—通过爆破数据库发起勒索攻击

今天给各位分享#APT破表#APT组织再次活跃—通过爆破数据库发起勒索攻击，其中也会对大家所疑惑的内容进行解释，如果能解决您现在面临的问题，别忘了关注多特软件站哦，现在开始吧！

APT组织再次活跃—通过爆破数据库发起勒索攻击

近段时间，客户报告服务器文件遭遇加密事件，新华三安全研究团队迅速响应。调查揭示，受感染主机存有大量MSSQL数据库尝试登录的日志及PowerShell执行记录。通过对这些日志与相关样本的深入剖析，确认了这是一起由名为“匿影”的黑客组织策动的攻击。

“匿影”组织自2019年3月首度曝光以来，持续活跃，其攻击手法不断进化。在初期，该组织利用“永恒之蓝”漏洞植入挖矿恶意软件，利用受害者的计算资源挖掘加密货币门罗币。2020年4月，“WannaRen”勒索病毒的大规模爆发，经调查，幕后操纵者正是“匿影”。进入12月，研究人员在一次“匿影”行动中发现了名为CryptoJoker的新勒索模块，赎金要求提升，同时发现该组织增添了文件盗窃模块，专注于窃取如数字货币钱包、个人证件和密码等敏感数据。随着国家对挖矿活动的严格管控，该组织战略转向，强化了勒索和窃密能力。后续跟踪显示，其大多数活动以勒索为目的，标志着策略重点的转移。

**攻击流程详解**

新华三攻防实验室详细重构了“匿影”的勒索攻击流程：

- **初步入侵**：通过MSSQL扫描和暴力破解获取主机权限，利用PowerShell执行远程命令下载并执行cpu2.txt。

- **载荷部署**：cpu2.txt实为下载器，将各类文件置于C:\Users\Public目录，随后执行ms.exe。

- **隐蔽技术**：ms.exe利用白名单程序加载恶意dll，逃避安全软件，lu.exe（原名Start.exe，与Sandboxie相关）加载SbieDll.dll进行解密操作。

- **实施勒索**：123.txt经过Base64编码，解码后包含PE文件和壳代码，通过复杂的解密过程，最终在内存中执行恶意代码。此外，shell.txt含有多个PE文件，用于提升权限、终止进程、服务和加密文件。

**技术特点与对策**

“匿影”善于通过公共平台散播恶意软件，采用模块化设计和多种逃避检测的技术，包括无文件攻击、白加黑技术以及加密混淆。针对这些威胁，新华三建议加强网络安全管理，如使用强密码、官方软件、及时补丁更新，以及定期备份数据，并提供相应的安全产品更新以对抗此类攻击。

**新华三安全防护策略**：

1. 避免公开暴露重要服务，加强密码强度。

2. 从可靠来源下载软件，并使用合法授权。

3. 确保系统补丁即时更新。

4. 定期备份重要数据。

5. 启用新华三提供的IPS和AV特征库更新，以防范已知威胁。

通过以上措施，企业和个人用户可以更有效地防御“匿影”组织的攻击，保障信息安全。

以上内容就是小编为大家整理的#APT破表#APT组织再次活跃—通过爆破数据库发起勒索攻击全部内容了，希望能够帮助到各位小伙伴了解情况！

了解更多消息请关注收藏我们的网站(news.duote.com)。