Sikkerhedsforskere har for nylig afdækket en ny indtrængningskæde forbundet med aktivitet omkring Termite-ransomware. Operationen bygger på social engineering og legitime Windows-værktøjer til at infiltrere netværk. I stedet for at udnytte softwaresårbarheder manipulerer angribere ofre til selv at køre ondsindede kommandoer.
Kampagnen anvender en teknik kendt som ClickFix. Metoden narrer brugere til at udføre kommandoer, som i det skjulte downloader malwarekomponenter. Når angriberne først får adgang, installerer de yderligere værktøjer, der hjælper dem med at udforske netværket og opretholde vedvarende adgang.
Forskere siger, at aktiviteten viser, hvordan ransomwaregrupper fortsætter med at forfine deres angrebsstrategier. Moderne indtrængninger udvikler sig ofte i flere faser, før den endelige ransomware-payload bliver implementeret.
Trusselsgruppe bag aktiviteten
Efterforskere har knyttet kampagnen til en trusselsgruppe, der spores under navnet Velvet Tempest. Sikkerhedsteams identificerer også gruppen som DEV-0504. Aktørerne har været aktive i ransomware-økosystemet i flere år.
Forskere forbinder gruppen med flere kendte ransomwarefamilier. Tidligere kampagner har været knyttet til operationer relateret til Ryuk, Conti, LockBit, BlackCat og REvil. Gruppen arbejder ofte som affiliate i større ransomware-netværk.
Under den seneste undersøgelse observerede analytikere angriberne i et simuleret virksomhedsmiljø. Scenariet repræsenterede en stor organisation med tusindvis af brugere og enheder. Operatørerne udførte såkaldt hands-on-keyboard-aktivitet, mens de kortlagde netværket og identificerede potentielle mål.
ClickFix brugt til at opnå initial adgang
Indtrængningen begyndte med en malvertisingkampagne, der leverede et ClickFix-lokkemiddel. Ofrene blev mødt af en falsk CAPTCHA-prompt under websurfing. Siden viste instruktioner, der tilsyneladende skulle løse et verifikationstrin.
I stedet for at bekræfte en CAPTCHA blev brugerne bedt om at indsætte en kommando i Windows Run-dialogen. Når ofrene udførte kommandoen, startede systemet en række skjulte operationer.
Kommandoerne benyttede indbyggede Windows-værktøjer. Disse værktøjer downloadede filer og aktiverede yderligere scripts uden straks at udløse alarmer. Da aktiviteten bruger legitime systemværktøjer, kan nogle sikkerhedsprodukter have svært ved at opdage angrebet tidligt.
Malware leveres gennem DonutLoader
Efter at angriberne havde fået adgang, installerede de yderligere payloads gennem scriptbaserede kommandoer. PowerShell-kommandoer downloadede komponenter og kompilerede .NET-payloads direkte på det kompromitterede system.
Et trin i angrebet introducerede DonutLoader, en loader der ofte bruges til at levere sekundær malware. Gennem denne loader installerede angriberne CastleRAT-bagdøren.
CastleRAT giver fjernkontrol over inficerede systemer. Angribere kan udføre kommandoer, indsamle information og bevæge sig lateralt gennem netværket. Denne adgang gør det muligt for operatørerne at udvide deres tilstedeværelse før et endeligt angreb.
Forskere observerede også Python-baserede komponenter placeret i systemmapper. Disse værktøjer hjalp angriberne med at opretholde vedvarende adgang efter systemgenstarter.
Ransomwarefasen blev ikke observeret
Under den overvågede indtrængning observerede forskerne ikke, at Termite-ransomware blev implementeret. Infrastruktur og værktøjer tyder dog stærkt på forberedelse til et ransomwareangreb.
Trusselsaktører tilbringer ofte lang tid i et netværk, før kryptering begynder. De indsamler først legitimationsoplysninger, udforsker interne systemer og identificerer værdifulde data. Denne forberedelse gør det muligt at maksimere effekten af et senere ransomwareangreb.
Termite-ransomware er allerede blevet knyttet til angreb mod flere organisationer. Kendte hændelser inkluderer brud hos SaaS-udbyderen Blue Yonder og det australske fertilitetsfirma Genea.
Social engineering driver fortsat angreb
ClickFix-metoden afspejler et bredere skift i cyberkriminelle taktikker. Mange angribere er nu mere afhængige af social engineering end af tekniske exploits.
Ved at overbevise brugere om selv at udføre kommandoer kan kriminelle omgå visse sikkerhedsbeskyttelser. Denne tilgang reducerer også behovet for komplekse sårbarhedsudnyttelser.
Forskere advarer om, at lignende teknikker sandsynligvis vil dukke op i fremtidige ransomwarekampagner. Angribere fortsætter med at udvikle social engineering-strategier, der fremstår legitime for ofrene.
Konklusion
Undersøgelsen viser, hvordan moderne ransomwarekampagner udvikler sig gennem flere lag af indtrængning. Aktiviteten forbundet med Termite-ransomware demonstrerer, hvordan angribere kombinerer social engineering med legitime systemværktøjer.
ClickFix-teknikken gør det muligt for kriminelle at opnå initial adgang uden at udnytte softwaresårbarheder. Når de først er inde i netværket, installerer angriberne loaders, fjernadgangsværktøjer og mekanismer til vedvarende adgang.
Selvom det observerede angreb stoppede før kryptering fandt sted, tyder infrastrukturen på forberedelse til en fuld ransomwareoperation. Organisationer bør være opmærksomme på social engineering-angreb, der opfordrer brugere til at udføre ukendte kommandoer.
Forbedret sikkerhedsbevidsthed og stærkere overvågning forbliver vigtige forsvar mod udviklende ransomwaretrusler.
0 svar til “Termite-ransomware knyttes til ClickFix- og CastleRAT-angreb”