欢迎光临
我们一直在努力

Conti 招兵买马 | 武器化 Log4j2 瞄准金融企业展开攻击,企业应提高警惕!


1
概述
Conti 勒索病毒于2019年10月左右首次出现,并于2020年开始流行。Conti被安全厂商 Palo Alto Networks 称为目前已知活跃的数十个勒索软件组织中“最无情的”组织。Conti 采用的 RaaS 运营模式使其传播范围进一步扩大,在过去的一年中,Conti 针对医疗行业和紧急服务机构发起了多次勒索攻击,其影响范围超过400多个组织,赎金多达数百万美元,是2021年最活跃的勒索软件。
近期微步情报局监测发现 Conti 勒索软件在2021年12月攻击印尼央行并窃取了13.88G数据,并成为第一个将 Log4j2 武器化的复杂软件勒索犯罪组织,现在已经建立了一个完整的攻击链。Conti 新的攻击链紧跟潮流、利用安全界最近的漏洞/木马。截至2021年12月20日,Conti 攻击链已采取以下形式:

Emotet -> Cobalt Strike -> Human Exploitation -> (no ADMIN$ share) -> Kerberoast -> vCenter ESXi with log4shell scan for vCenter

微步情报局一直保持对该事件中的攻击链各环节进行密切追踪和分析,我们的监测分析结果如下:

  • 2021.09.01 分析发表“Conti 连环攻击后,作战手册泄露”报告

  • 2021.12.10 分析发表“史诗级Log4j漏洞已引起大规模入侵”报告

  • 2021.12.14 分析发表“Emotet木马\”卷土重来\”,诸多政企中招,或将有更大动作?”报告

  • 2021.12.21 捕捉“Conti勒索组织拥有完整的Log4Shell攻击链”活动

2
攻击态势

2.1从医疗到金融、从北美到东南亚

2021年12月,印尼央行遭受到勒索软件攻击,该行于1月20号公开证实,但未将其直接归到任何黑客团伙身上。不过攻击者却非常高调,Conti 在数据泄露网站上主动承认此次攻击行动,称已将印尼银行添加到受害者名单列表,并贴出了此次攻击窃取到的13.88G的数据截图。


据微步在线研究响应中心跟踪发现,Conti 早期的重大攻击活动中,我们可以很明显的看到 Conti 运营团伙很有指向性的攻击医疗系统。例如:佛蒙特大学健康网站、爱尔兰医疗保健系统、圣地亚哥的斯克里普斯医疗保健系统,且造成了数百万美元的损失。
据此可见 Conti 是将攻击目标从医疗行业转换到金融业,从主阵地北美转移到了东南亚。

2.2  Log4j2 武器化

在此次分析的事件中,Conti 采用新的攻击链采取以下形式:


遍历该攻击链:

1. Emotet:是一个僵尸网络,2021年12月再次全球范围内爆发,国内不少政企客户也受到该事件影响,相关企业被大范围攻击,邮箱账号密码泄露,大量敏感信息泄露,后果严重。

2. Cobalt Strike:是一款商用、功能齐全的远程访问工具,自称是“旨在执行有针对性的攻击并模拟高级威胁参与者的模拟软件”。

3. Human Exploitation:描述了攻击者探查网络、寻找关键数据、分析网络结构、定义最重要的网络共享以及寻找提升权限的方法等攻击的阶段,参考前期批露的行动手册。

4. no ADMIN$ share:远程主机共享。

5. Kerberoast:Kerberoasting 是一种常见的域控攻击,它利用弱加密和服务帐户密码的组合,从 Active Directory 中提取服务帐户凭据哈希以进行脱机破解。

6. VMWare vCenter 服务器:截至2021年12月15日星期三,Conti 一直在寻找易受 Log4Shell 攻击的 VMWare 网络,以进行初始访问和横向移动。

Log4Shell 是基于 Java 的日志库漏洞,其在漏洞库中评分最高:10.0 CRITICAL。允许在易受攻击的机器上直接远程执行代码。目前多种产品运行 Log4j2 库,包括流行的 vCenter、Kafka、Elastic 和 Minecraft,为攻击者提供了攻击面。

根据微步自有蜜罐近一周捕捉到得 Log4j2 漏洞利用就有1w+次。

由于去年 Conti 的“作战手册”泄露,和各家安全厂商对它的深入研究及对抗,Conti 的攻击面在不断缩小,其开始寻找新的攻击向量以获取最大收益。
新的攻击向量时间线如下:
  • 2021年11月1日 –  Conti 开始寻找新的攻击向量

  • 2021年11月14日 – 使用 Emotet – CobaltStrike 进行攻击

  • 2021年11月19日 – Conti 重新设计其基础设施以实现新的扩张

  • 2021年11月25日 – 发布新的 Conti Payload

  • 2021年12月 6 日 – 推进僵尸网络模块的研发工作

  • 2021年12月12日 – Conti 将 Log4Shell 确定为一种新的攻击方式

  • 2021年12月13日 – 初始访问的扫描活动

  • 2021年12月15日 – 针对横向移动的 vCenter 网络

3
威胁趋势
Conti 已经有利用漏洞作为初始攻击向量和横向移动的历史。例如,该组织曾利用Fortinet VPN 漏洞(CVE-2018-13379)、PrintNightmare 特权提升 (CVE-2021-34527/CVE-2021-1675)、Zerologon (CVE-2020-1472)和 ms17-010将未打补丁的设备作为初始攻击向量的目标。
每当一个新的可利用漏洞的公开,自然成为了黑客们关注的焦点。正如2021年3月在 ProxyLogon 漏洞中看到的那样,如果有一天黑客犯罪团伙发现了一个重要的 CVE,那么下周它就会被勒索软件武器化。因此,Conti 和其他勒索团伙开始利用 Log4j2 只是时间问题。建议立即修补易受攻击的系统,并将 Log4j2 视为勒索软件组利用向量。
– END –

公众号内回复“CL”,可获取完整版PDF 版报告


关于微步在线研究响应中心

微步情报局,即微步在线研究响应中心,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。

内容转载与引用

1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”
点击下方名片,关注我们
第一时间为您推送最新威胁情报

阅读原文,可加入粉丝群~

赞(0) 打赏
未经允许不得转载:黑客技术网 » Conti 招兵买马 | 武器化 Log4j2 瞄准金融企业展开攻击,企业应提高警惕!
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏