【安全资讯】从QAKBOT到定制恶意软件:UNC4393的适应性

安恒恒脑 2024-08-01 19:07:51 233人浏览

概要:

Mandiant最新报告揭示了UNC4393这一活跃的勒索软件团伙的演变和战术。该团伙在全球范围内攻击了多个行业,最近甚至扩展到医疗领域。报告详细分析了UNC4393的作案手法及其恶意软件的使用情况。

主要内容:

UNC4393是一个以勒索软件为主的威胁团伙,主要使用BASTA勒索软件。Mandiant的报告显示,该团伙自2022年中期以来一直活跃,最初通过QAKBOT僵尸网络进行初始访问。随着QAKBOT的被摧毁,UNC4393转向开发定制恶意软件,并依赖访问代理。

UNC4393的恶意软件工具包括BASTA、SYSTEMBC、KNOTWRAP、KNOTROCK、DAWNCRY和PORTYARD等。这些工具用于加密文件、隐藏网络流量、执行内存中的额外负载以及建立与C2服务器的连接。特别是SILENTNIGHT后门,具备多种恶意活动功能,包括系统控制、截图、键盘记录和加密货币钱包访问。

UNC4393通过钓鱼邮件和HTML走私技术进行初始感染,随后使用“活跃在地”的技术和定制恶意软件进行持久性和横向移动。他们的侦察工具如BLOODHOUND和COGSCAN帮助绘制受害者网络并识别进一步利用的目标。UNC4393的快速行动和高效操作得益于其私密的邀请制模式,通常在42小时内完成勒索。

UNC4393的攻击不仅限于勒索软件部署失败时,他们可能会放弃当前尝试,但可能会在未来重新瞄准同一环境。Mandiant的报告强调了UNC4393的适应性和不断演变的威胁,提醒各行业提高警惕,采取有效的防御措施。
勒索软件 钓鱼攻击 恶意软件 医疗卫生 金融
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。