DragonForce利用SimpleHelp漏洞在终端部署勒索软件-CSDN博客

本文链接：https://blog.csdn.net/FreeBuf_/article/details/148332605

攻击手法分析

DragonForce 勒索软件背后的威胁行为者入侵了某未具名托管服务提供商（MSP）的 SimpleHelp 远程监控与管理（RMM）工具，随后利用该工具窃取数据并在多个终端部署勒索程序。根据 Sophos 的分析，攻击者很可能利用了 2025 年 1 月披露的 SimpleHelp 三个安全漏洞（CVE-2024-57727、CVE-2024-57728 和 CVE-2024-57726）来访问 MSP 的 SimpleHelp 部署环境。

网络安全公司 Sophos 表示，其通过监测到 MSP 为客户托管运营的合法 SimpleHelp RMM 实例推送的可疑安装程序文件，从而发现了此次攻击事件。

供应链攻击影响

威胁行为者还利用 MSP 的 RMM 实例访问权限，从不同客户环境中收集设备名称、配置信息、用户数据及网络连接等敏感信息。虽然其中一名 MSP 客户成功切断了攻击者的网络访问，但其他下游客户仍遭受了数据窃取和勒索软件攻击，最终导致双重勒索（double-extortion）事件发生。

这起 MSP 供应链攻击事件揭示了一个犯罪组织的技术演进——该组织通过提供优厚的利润分成，已成为网络犯罪领域最有利可图的附属团伙选项之一。

勒索软件联盟模式

近几个月来，DragonForce 因重组为勒索软件"卡特尔"（cartel）并采用新型附属品牌模式而备受关注。该模式允许其他网络犯罪分子以不同名称创建自己的勒索软件变种。该卡特尔的出现恰逢 BlackLock 和 Mamona 勒索软件团伙运营的数据泄露网站遭篡改，以及去年 LockBit 和 BlackCat 消亡后崛起的知名电子犯罪团伙 RansomHub 疑似被"恶意接管"。

自上月底以来，针对英国零售业的一系列攻击使该威胁组织受到更多关注。据 BBC 报道，这些攻击已导致受影响公司关闭部分 IT 系统。

网络安全公司 Cyberint 指出："虽然 DragonForce 宣称对勒索和数据泄露阶段负责，但越来越多的证据表明，另一个名为 Scattered Spider 的组织可能在发动这些攻击中发挥了基础性作用。以云优先、身份为中心的入侵方法闻名的 Scattered Spider，正逐渐成为 DragonForce 联盟模式中可能的访问中介或合作者。"

犯罪网络演变趋势

尽管 2024 年有据称是 Scattered Spider 成员的嫌疑人被捕，但这个隶属于松散组织 The Com 的团伙仍充满神秘色彩，外界对其如何招募英美年轻人的运作机制知之甚少。

这些发现表明，勒索软件组织正呈现碎片化、去中心化和附属忠诚度降低的动荡局面。更令人担忧的是，人工智能（AI）在恶意软件开发和大规模攻击中的应用日益增多。

Sophos 反威胁部门高级研究员 Aiden Sinnott 表示："DragonForce 不只是又一个勒索软件品牌——它是一股试图重塑勒索软件格局的破坏性力量。虽然该组织因高调攻击英国零售商而占据近期头条，但在勒索软件生态系统的幕后，其与 RansomHub 等电子犯罪团伙似乎正在进行某种角力。随着 LockBit 被取缔后生态系统持续快速演变，这场'地盘争夺战'尤其凸显了该组织争夺主导权的野心。"

LockBit 的兴衰

LockBit 在 2024 年初的"克罗诺斯行动"（Operation Cronos）国际执法行动中遭受重大打击，基础设施被摧毁。虽然该组织在一定程度上重建并恢复了活动，但本月早些时候再次遭遇挫折——其暗网附属面板遭篡改，被添加了包含数千条谈判聊天记录、定制构建版本以及低阶 LockBit Lite 面板工作数据的数据库下载链接。

安全公司 Ontinue 在泄露数据分析报告中指出："从聊天日志、勒索软件构建记录到附属配置和赎金要求，这些数据表明 LockBit 组织严密且有条不紊。附属团伙在定制攻击、索要赎金和与受害者谈判方面发挥着重要作用。"

新兴攻击手段

与此同时，包括 3AM 勒索软件在内的多个攻击组织正结合使用邮件轰炸（email bombing）和语音钓鱼（vishing），通过伪装技术支持欺骗员工，利用社会工程手段诱使他们通过 Microsoft Quick Assist 授予计算机远程访问权限。攻击者随后滥用初始访问权限投放额外有效载荷，包括名为 QDoor 的网络隧道后门——该后门可使攻击者在不受关注的情况下建立网络立足点。值得注意的是，该后门此前曾在 Blacksuit 和 Lynx 勒索软件攻击中被发现。

Sophos 表示，虽然最终阻止了勒索软件攻击，但攻击者仍成功窃取数据并在网络中潜伏了 9 天才尝试启动勒索程序。

Sophos 首席威胁研究员 Sean Gallagher 指出："语音钓鱼与邮件轰炸的组合仍是勒索软件攻击者强大有效的攻击手段——3AM 勒索软件组织现已找到利用远程加密规避传统安全软件检测的方法。为确保安全，企业应优先提高员工安全意识，并严格限制远程访问。这包括通过策略禁止在不应安装此类软件的计算机上执行虚拟机和远程访问软件。此外，企业应阻止所有与远程控制相关的入站和出站网络流量，仅允许指定远程访问系统的通信。"