【安全资讯】从QAKBOT到定制恶意软件:UNC4393的适应性
概要:
Mandiant最新报告揭示了UNC4393这一活跃的勒索软件团伙的演变和战术。该团伙在全球范围内攻击了多个行业,最近甚至扩展到医疗领域。报告详细分析了UNC4393的作案手法及其恶意软件的使用情况。主要内容:
UNC4393是一个以勒索软件为主的威胁团伙,主要使用BASTA勒索软件。Mandiant的报告显示,该团伙自2022年中期以来一直活跃,最初通过QAKBOT僵尸网络进行初始访问。随着QAKBOT的被摧毁,UNC4393转向开发定制恶意软件,并依赖访问代理。UNC4393的恶意软件工具包括BASTA、SYSTEMBC、KNOTWRAP、KNOTROCK、DAWNCRY和PORTYARD等。这些工具用于加密文件、隐藏网络流量、执行内存中的额外负载以及建立与C2服务器的连接。特别是SILENTNIGHT后门,具备多种恶意活动功能,包括系统控制、截图、键盘记录和加密货币钱包访问。
UNC4393通过钓鱼邮件和HTML走私技术进行初始感染,随后使用“活跃在地”的技术和定制恶意软件进行持久性和横向移动。他们的侦察工具如BLOODHOUND和COGSCAN帮助绘制受害者网络并识别进一步利用的目标。UNC4393的快速行动和高效操作得益于其私密的邀请制模式,通常在42小时内完成勒索。
UNC4393的攻击不仅限于勒索软件部署失败时,他们可能会放弃当前尝试,但可能会在未来重新瞄准同一环境。Mandiant的报告强调了UNC4393的适应性和不断演变的威胁,提醒各行业提高警惕,采取有效的防御措施。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享