【安全资讯】LeakNet勒索软件利用ClickFix与Deno运行时发起隐秘攻击

概要：

网络安全威胁持续演变，勒索软件团伙正采用日益复杂的战术以规避检测。近期，LeakNet勒索软件组织将社会工程学攻击“ClickFix”与合法的开源Deno运行时相结合，发起了一系列高度隐秘的攻击。这种“自带运行时”（BYOR）的攻击手法，通过利用受信任的软件执行恶意代码，显著降低了在磁盘上留下痕迹的可能性，对企业的安全防御构成了严峻挑战。

主要内容：

LeakNet是一个自2024年底开始活跃的勒索软件组织。其最新攻击链始于“ClickFix”社会工程学攻击，通过伪造提示诱骗用户在其系统上运行恶意命令。一旦用户中招，攻击者便会部署一个基于Deno运行时的恶意加载器。

该攻击的核心技术在于利用合法的Deno运行时直接在系统内存中解码并执行恶意JavaScript负载。由于Deno是经过签名的合法软件，它能轻易绕过针对未知二进制文件的阻止列表和过滤器，使得恶意活动在初期难以被传统安全工具察觉。攻击脚本通常被巧妙地命名为“Romeo*.ps1”和“Juliet*.vbs”，通过VBS和PowerShell启动。

在内存中执行后，恶意代码会进行主机指纹识别、生成受害者ID并连接命令与控制（C2）服务器以获取第二阶段负载。同时，它会建立一个持久的轮询循环以接收C2的新指令。在横向移动阶段，LeakNet综合使用了DLL侧加载、凭证发现、PsExec横向移动以及滥用亚马逊S3桶进行数据外泄等技术。

安全研究人员指出，尽管攻击链复杂，但其一致性和可重复性也为防御者提供了检测机会。异常迹象包括在非开发环境中运行Deno、浏览器发起可疑的“misexec”执行、异常的PsExec使用、指向S3的意外出站流量以及在非常规目录中的DLL侧加载行为。