【安全资讯】WIZARD SPIDER的勒索软件基础设施与 Windows 0day漏洞利用之间的联系

引言

9月7日，微软披露了一个Windows 0day漏洞：CVE-2021-40444。RiskIQ的研究团队评估了支持利用该漏洞的基础设施，发现其与名为WIZARDSPIDER的勒索软件团伙存在联系。

简况

2021 年 9 月 7 日，微软披露的影响 Microsoft Word 和 Microsoft Explorer 的CVE-2021-40444漏洞正在被恶意文档利用，这些文档提供定制版本的 Cobalt Strike BEACON，这很可能是第一阶段有效载荷。攻击者还利用了 Cobalt Strike 的“Malleable C2 Profiles”，该功能使攻击者能够伪装其命令和控制基础设施，以更好地避免检测和模式匹配。

研究人员评估了用于为漏洞利用交付的 BEACON 植入提供命令和控制的网络基础设施，以及漏洞利用交付基础设施，发现该组织拥有大约 200 个基于唯一 IP 地址的 BEACON 活动服务器。在过去的一年中，同一组又使用了 400 台服务器，这些服务器与 Malleable C2 配置文件匹配，但目前不再处于活动状态。这一特定活动最早的恶意样本可以追溯到 2021 年 2 月初。

0day攻击活动中使用的 C2 基础设施与部署勒索软件（如Ryuk 和 Conti）时使用的 C2 服务器相关联，共享多个IP 地址和域，包括：

• 108.62.118.4 - rtrill.com和banksystemsecurity.com
• 45.147.230.132 - jikoxaz.com和boost-servicess.com

基于网络基础设施设置和使用中的多个重叠模式，研究人员以高置信度评估0day攻击活动背后的运营商正在使用隶属于 WIZARD SPIDER 和相关团体 UNC1878 的基础设施和Ryuk勒索软件。尽管存在联系，但研究人员不能肯定地说，0day攻击活动背后的攻击者是 WIZARD SPIDER 或其附属公司的一部分。因为WIZARD SPIDER之前没有表现出开发这种复杂的漏洞链的能力。相反，研究人员以中等信心评估此次0day攻击实际上可能是间谍活动。与已知勒索软件基础设施的重叠可能意味着以下几种情况：

• 0day漏洞运营商破坏了勒索软件运营商的基础设施。
• 勒索软件运营商允许0day运营商利用他们现有的基础设施。
• 勒索软件运营商就是0day漏洞攻击者，勒索团伙的实际目标是从事间谍活动而不是金融犯罪活动。
• 两个实体可能使用同一个第三方提供 Bulletproof Hosting 服务。

总结

0day漏洞利用与勒索软件组织的关联令人不安。这表明，要么0day漏洞利用等工具已经进入强大的勒索软件即服务 (RaaS) 生态系统，要么是更复杂的团体（如从事政府支持的间谍活动的黑客）正在控制基础设施误导和阻碍归因。