Ngày 17 tháng 4 năm 2023Ravie LakshmananRansomware / Tấn công mạng
Các tác nhân đe dọa liên quan đến nhóm ransomware Vice Society đã được quan sát bằng cách sử dụng một công cụ dựa trên PowerShell đặt riêng để theo dõi và tự động hóa quy trình trích xuất dữ liệu từ các mạng bị xâm nhập.
“Các tác nhân đe dọa (TA) sử dụng các phương pháp trích xuất dữ liệu tích hợp như [living off the land binaries and scripts] nhà nghiên cứu Ryan Chapman của Đơn vị 42 Palo Alto Networks cho biết.
“Những phương pháp này cũng có thể ẩn trong môi trường hoạt động chung, cung cấp khả năng lật đổ cho tác nhân đe dọa.”
Vice Society, được Microsoft theo dõi dưới tên DEV-0832, là một nhóm tấn công tập trung vào tống tiền xuất hiện vào tháng 5 năm 2021. Nhóm này được biết là dựa vào các tệp nhị phân ransomware được bán cho tội phạm ngầm để đạt được mục tiêu của mình.
Vào tháng 12 năm 2022, SentinelOne đã nêu chi tiết việc nhóm sử dụng một biến thể ransomware, có tên là PolyVice, thực hiện sơ đồ mã hóa kết hợp kết hợp mã hóa bất đối xứng và mã hóa đối xứng để mã hóa tệp một cách an toàn.
Tập lệnh PowerShell do Bài 42 phát hiện (w1.ps1) hoạt động bằng cách xác định các ổ đĩa được gắn trên hệ thống, sau đó tìm kiếm đệ quy qua từng thư mục gốc để hỗ trợ việc trích xuất dữ liệu qua HTTP.
Công cụ này cũng sử dụng các tiêu chí loại trừ để lọc ra các tệp hệ thống, bản sao lưu và thư mục trỏ đến trình duyệt web cũng như các giải pháp bảo mật từ Symantec, ESET và Sophos. Công ty an ninh mạng cho biết thiết kế tổng thể của công cụ thể hiện “mức độ viết mã chuyên nghiệp”.
Việc phát hiện ra tập lệnh đánh cắp dữ liệu minh họa cho mối đe dọa tống tiền kép đang diễn ra trong bối cảnh ransomware. Nó cũng đóng vai trò như một lời nhắc nhở cho các tổ chức ưu tiên các biện pháp bảo vệ an ninh mạnh mẽ và cảnh giác trước các mối đe dọa đang gia tăng.
Chapman nói: “Tập lệnh trích xuất dữ liệu PowerShell của Vice Society là một công cụ đơn giản để trích xuất dữ liệu. “Đa xử lý và xếp hàng được sử dụng để đảm bảo tập lệnh không tiêu tốn quá nhiều tài nguyên hệ thống.”
“Tuy nhiên, tập lệnh tập trung vào các tệp trên 10 KB có phần mở rộng tệp và trong các thư mục đáp ứng danh sách bao gồm của nó có nghĩa là tập lệnh sẽ không trích xuất dữ liệu không phù hợp với mô tả này.”
