【安全资讯】勒索软件团伙滥用ISPsystem虚拟机进行隐蔽载荷投递

概要：

网络安全威胁正变得日益隐蔽和复杂。近期，Sophos公司的研究人员发现，多个臭名昭著的勒索软件团伙正在滥用合法虚拟化管理平台ISPsystem的VMmanager，大规模部署和投递恶意载荷。这种利用默认配置缺陷的策略，使得恶意基础设施能够轻易隐藏在成千上万的正常虚拟机中，极大地增加了安全防御和追踪溯源的难度。

主要内容：

研究人员在调查近期‘WantToCry’勒索软件事件时，发现了这一战术。攻击者利用ISPsystem的VMmanager平台创建的Windows虚拟机，其主机名和系统标识符在每次部署时都完全相同，这是由平台的默认模板设计导致的。这一设计缺陷被一些明知故犯的“防弹托管”提供商利用，为网络犯罪活动提供便利。

包括LockBit、Qilin、Conti、BlackCat/ALPHV和Ursnif在内的多个勒索软件组织，以及涉及RedLine和Lummar信息窃取器的恶意软件活动，其基础设施中都发现了这些相同的主机名。攻击者通过VMmanager快速创建虚拟机，用于构建命令与控制（C2）服务器和载荷投递基础设施。

绝大多数恶意虚拟机托管在少数几家声誉不佳或受制裁的服务商，如Stark Industries Solutions Ltd.、Zomro B.V.等。Sophos还发现一家名为MasterRDP的提供商直接控制物理基础设施，并利用VMmanager进行规避，提供不配合法律请求的VPS和RDP服务。

这种滥用方式使得恶意系统得以隐匿，混淆了攻击归属，并使得快速清除变得困难。ISPsystem的VMmanager因其低成本、低门槛和开箱即用的部署能力，对网络犯罪分子极具吸引力。目前，ISPsystem尚未就大规模滥用模板问题及应对计划发表声明。