【安全资讯】SnapMC组织直接窃取公司数据进行勒索

安恒威胁情报中心 2021-10-13 15:01:25 158人浏览

引言

研究人员发现了一种新的威胁组织并将其命名为SnapMC。SnapMC的攻击非常迅速,通常可以在30分钟内完成。SnapMC采取的是数据泄露勒索攻击方式,使用渗漏工具mc.exe,直接窃取公司的文件。随后威胁受害者称若不支付赎金,则将受害者公司的数据泄露到网上。这种攻击方式与传统的勒索软件攻击相比,跳过了部署勒索软件的步骤,因此大大节省了时间成本。

 

简况

SnapMC的勒索电子邮件表示,受害者有 24 小时的联系时间和 72 小时的谈判时间。但攻击者会在倒计时结束之前就开始给受害者增加压力。勒索邮件中包含一份被盗数据的列表,作为SnapMC已访问受害者基础设施的证据。如果受害企业没有在给定的时间范围内做出回应或协商,攻击者就会威胁称要发布被盗数据,并通知受害企业的客户和各种媒体。

 

SnapMC攻击者成功利用和窃取易受以下攻击的服务器的数据:

  • ASPX.NET 的 Telerik UI 中的远程代码执行
  • SQL注入

 

成功利用网络服务器应用程序后,攻击者执行有效载荷进行远程访问。根据观察到的有效载荷和特征,攻击者似乎使用了公开可用的概念验证 Telerik Exploit。随后 PowerShell 开始执行以下侦察活动:

SnapMC 使用 Invoke-SQLcmd PowerShell 脚本与 SQL 数据库通信并导出数据,将导出的数据本地存储在 CSV 文件中,并使用 7zip 存档实用程序压缩这些文件。SnapMC使用MinIO客户端来窃取数据。使用 PowerShell 命令行配置exfil位置和要使用的密钥。在渗漏过程中,MinIO 在工作目录中创建一个临时文件,文件扩展名为 […] .par.minio。

 

大多数情况下,攻击者没有提升权限。然而在一个样本中,SnapMC试图通过运行一些PowerShell脚本来提升权限,包括:Invoke-Nightmare;Invoke-JuicyPotato;Invoke-ServiceAbuse;Invoke-EventVwrBypass;Invoke-PrivescAudit。

 

总结

数据泄露勒索攻击与全面的勒索软件攻击相比,需要的时间更少,技术深度知识或技能也更少。因此研究人员推测,随着时间的推移,数据泄露勒索攻击会不断增加。

失陷指标(IOC)1
勒索软件 SnapMC mc.exe 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。