微軟發現：神秘的勒索軟件 Prestige 正在針對烏克蘭、波蘭的運輸和物流組織

微軟報告稱，新的 Prestige 勒索軟件正被用于針對烏克蘭和波蘭的運輸和物流組織的攻擊。Prestige 勒索軟件于10月11日首次出現在威脅環境中，所有受害者在一小時內相互攻擊。

該活動的一個顯著特點是，很少看到威脅行為者試圖將勒索軟件部署到烏克蘭企業的網絡中。微軟指出，該活動與它正在跟蹤的94個當前活躍的勒索軟件活動組中的任何一個都沒有關聯。

微軟威脅情報中心 (MSTIC) 發布的報告中寫道：“該活動與最近與俄羅斯國家相關的活動，特別是在受影響的地區和國家，并與FoxBlade惡意軟件（也稱為HermeticWiper）的先前受害者重疊”。

HermeticWiper是網絡安全公司ESET和博通旗下賽門鐵克的研究人員于2月發現的破壞性擦除器，其惡意代碼被用于襲擊烏克蘭數百臺機器的攻擊。

微軟注意到，該活動不同于最近利用 AprilAxe (ArguePatch)/ CaddyWiper或Foxblade (HermeticWiper) 的破壞性攻擊，這些攻擊在過去兩周襲擊了烏克蘭的幾個關鍵基礎設施組織。

MSTIC 尚未將這些攻擊歸因于已知的威脅組，同時，它正在跟蹤該活動作為 DEV-0960。在目標網絡中部署勒索軟件之前，使用以下兩個遠程執行使用程序觀察了威脅參與者：

• RemoteExec – 一種用于無代理遠程代碼執行的商用工具
• Impacket WMIexec – 一種基于開源腳本的遠程代碼執行解決方案
• DEV-0960 在一些攻擊中使用以下工具來訪問高權限憑證：
• winPEAS – 在 Windows 上執行權限提升的開源腳本集合
• comsvcs.dll – 用于轉儲 LSASS 進程的內存并竊取憑據
• ntdsutil.exe – 用于備份 Active Directory 數據庫，可能供以后使用憑據

“在所有觀察到的部署中，攻擊者已經獲得了對域管理員等高權限憑證的訪問權限，以促進勒索軟件的部署。” 繼續報告。“目前尚未確定初始訪問向量，但在某些情況下，攻擊者可能已經從先前的妥協中獲得了對高特權憑據的現有訪問權限。”

MSTIC 研究人員觀察到威脅參與者使用三種方法部署 Prestige 勒索軟件：

方法一：將勒索軟件payload復制到遠程系統的ADMIN$共享中，使用Impacket在目標系統上遠程創建Windows Scheduled Task來執行payload

方法二：將勒索軟件payload復制到遠程系統的ADMIN$共享，使用Impacket在目標系統上遠程調用編碼的PowerShell命令來執行payload

方法三：將勒索軟件負載復制到 Active Directory 域控制器并使用默認域組策略對象部署到系統

部署后，Prestige 勒索軟件會在其加密的每個驅動器的根目錄中放置一個名為“README.txt”的勒索記錄。

Prestige 使用 CryptoPP C++ 庫對每個符合條件的文件進行 AES 加密，以防止數據恢復，勒索軟件會從系統中刪除備份目錄。

Microsoft 發布了一份入侵指標 (IOC) 列表，高級搜索查詢可檢測 Prestige 勒索軟件感染。微軟將繼續監控 DEV-0960 活動并為我們的客戶實施保護措施。