利用VPN设备漏洞入侵！新型勒索软件CACTUS攻击手法分析

亚信安全 2024-02-04 10:15:35  63392

分类专栏：资讯

近期，亚信安全应急响应中心截获了利用VPN设备已知漏洞传播的新型勒索软件CACTUS，该勒索于2023年3月首次被发现，一直保持着活跃状态。CACTUS勒索软件通过Fortinet VPN的已知漏洞进行入侵（黑客首先获取到VPN账号，再通过VPN服务器入侵到组织内部），获取初始访问权限。随后，勒索团伙会通过网络扫描，远控软件和RDP暴力破解在内网横向移动，窃取被害者的重要信息，并将窃取的信息传输到云存储中。最后，勒索团伙对被害机器进行勒索投毒。

CACTUS勒索软件介绍

【CACTUS攻击流程】

在内网横向移动阶段，该勒索团伙使用Netscan、PSnmap的修改版本对域内机器进行网络扫描。通过使用PowerShell命令来枚举端点，在Windows事件查看器中查看成功登录来识别用户帐户，并ping远程主机。除此之外，勒索团伙还使用各种合法工具及远程软件对被害者机器进行控制，例如Splashtop、 AnyDesk、SuperOps RMM、Cobalt Strike和基于Go的代理工具Chisel。另外，该勒索还通过RDP暴力破解获取内网访问权限。

获取到内网机器的访问权限后，勒索团伙首先会窃取被害者的敏感信息，并使用Rclone等常见工具将窃取的信息传输到云存储中，然后再进行手动投毒。在勒索阶段，勒索团伙会威胁用户，如果不缴纳赎金，将会泄露窃取到的数据。在数据加密及数据泄露双重威胁下，用户缴纳赎金的概率将会提高。

CACTUS勒索与以往勒索软件相比较，其最大不同之处是利用7-Zip进行防御规避。CACTUS 勒索软件使用批处理脚本提取 7-Zip加密保护的勒索软件二进制文件，然后在执行有效负载之前删除 .7z文件。CACTUS勒索软件在加密前会初始化AES密钥以及OpenSSL库，通过OpenSSL库提供加密服务。其还通过创建计划任务达到持久化加密文件目的。在加密过程中，混合使用了 AES 和 RSA 算法，其中，使用 AES 算法对文件数据进行加密，并将加密后的数据写入文件中，然后使用 RSA 公钥对随机生成的加密密钥进行加密，并在文件夹中留下勒索信息说明文件。为防止受害者通过备份恢复数据，其会删除卷影副本。