由于其针对虚拟机的勒索软件出现了新的改进变种,Agenda 勒索软件组织在全球范围内不断增加感染。
Agenda(又名 Qilin 和 Water Galura)于 2022 年首次被发现。它的第一个基于 Golang 的勒索软件被用于针对各种目标:从加拿大到哥伦比亚和印度尼西亚的医疗保健、制造和教育领域。
到 2022 年底,Agenda 的所有者重写了其恶意软件 Rust,一门有用的语言 适用于希望跨操作系统传播其工作的恶意软件作者。通过 Rust 变体,Agenda 能够危害金融、法律、建筑等领域的组织,主要是在美国,但也在阿根廷、澳大利亚、泰国和其他地方。
就在最近,趋势科技发现 新的 Agenda 勒索软件变种 在野外。这个基于 Rust 的最新版本配备了各种新功能和隐形机制,并将其目标直接瞄准了 VMware vCenter 和 ESXi 服务器。
“针对 ESXi 服务器的勒索软件攻击呈增长趋势,”趋势科技高级威胁研究员 Stephen Hilt 指出。 “它们是勒索软件攻击的有吸引力的目标,因为它们通常托管关键系统和应用程序,并且成功攻击的影响可能是巨大的。”
新议程勒索软件
据趋势科技称,Agenda 感染量从去年 12 月开始增加,可能是因为该组织现在更加活跃,也可能是因为它们更加有效。
当勒索软件二进制文件通过 Cobalt Strike 或远程监控和管理 (RMM) 工具传递时,感染就开始了。二进制文件中嵌入的 PowerShell 脚本允许勒索软件在 vCenter 和 ESXi 服务器之间传播。
一旦正确传播,恶意软件就会更改所有 ESXi 主机上的 root 密码,从而锁定其所有者,然后使用 Secure Shell (SSH) 上传恶意负载。
这种新的、更强大的 Agenda 恶意软件与其前身具有相同的功能:扫描或排除某些文件路径、通过 PsExec 传播到远程计算机、在执行有效负载时精确超时等等。但它还添加了许多新命令,用于升级权限、模拟令牌、禁用虚拟机集群等。
一项琐碎但对心理产生影响的新功能允许黑客打印勒索信,而不是仅仅将其显示在受感染的显示器上。
攻击者通过 shell 主动执行所有这些不同的命令,使他们能够执行恶意行为,而不会留下任何文件作为证据。
为了进一步增强其隐秘性,Agenda 还借鉴了勒索软件攻击者最近流行的趋势—— 自带易受攻击的驱动程序 (BYOVD) — 使用易受攻击的 SYS 驱动程序来逃避安全软件。
勒索软件风险
勒索软件曾经是 Windows 独有的,现已在全球范围内盛行 Linux 和大众软件 乃至 macos,这要归功于公司在这些环境中保留了多少敏感信息。
“组织在 ESXi 服务器上存储各种数据,包括客户数据、财务记录和知识产权等敏感信息。他们还可能在 ESXi 服务器上存储关键系统和应用程序的备份。”Hilt 解释道。勒索软件攻击者会利用此类敏感信息,其他威胁参与者可能会使用这些相同的系统作为进一步网络攻击的启动板。
趋势科技在报告中建议面临风险的组织密切关注管理权限,定期更新安全产品,执行扫描和备份数据,对员工进行社会工程教育,并勤勉地进行网络卫生。
Hilt 补充道:“推动降低成本和保留本地部署将导致组织进行虚拟化并使用 ESXi 等系统来虚拟化系统,”因此虚拟化网络攻击的风险可能只会继续增长。
