黑猫勒索软件团伙利用搜索广告进行攻击

关键要点

• 黑猫勒索软件团伙（也称为 ALPHV）利用 Google 和 Bing 搜索广告，诱导用户下载伪造的 WinSCP 文件传输应用程序，从而感染企业网络。
• 攻击者通过恶意广告引导用户访问伪造的下载页面，以下载包含恶意软件的 ISO 文件。
• 研究表明，攻击者在入侵过程中使用了多个合法和非法工具，成功获取了管理员权限，植入后门以保持持久性。

黑猫勒索软件团伙近期展现了其精明的攻击策略，利用 Google 和 Bing的搜索广告，借助一个知名的文件传输应用程序作为诱饵，投放恶意程序以感染企业网络。该团伙的恶意广告引导那些点击的用户访问一个伪造的 WinSCP下载页面，WinSCP 是一个流行的开源 Windows 应用程序，用于在本地计算机和远程服务器之间复制文件。

根据 Trend Micro 在 6 月 30 日发布的
，该研究小组的成员 Lucas Silva、RonJayCaragay、Arianne Dela Cruz 和 Gabriel Cardoso 详细介绍了他们如何与一个受到此攻击影响的受害者合作。

报告中描述了此次攻击中使用的一系列工具、技术和程序（TTPs），包括合法和非法的工具、脚本及命令。在另一项调查中，他们发现类似的 TTPs导致了黑猫的感染。

在首个案例中，攻击者在成功从受害者网络中剔除之前，获取并滥用了顶级管理员权限，试图建立持久性，并使用远程管理工具（如
AnyDesk）植入后门访问网络。接下来，攻击者试图窃取密码和访问备份服务器。

“如果遏制行动延迟，企业势必会受到重大影响，尤其是在攻击者已经成功获得域管理员权限并开始建立后门和持久性之后，”研究人员表示。

广告如何导致网络被攻陷

WinSCP 是 IT 专业人士，尤其是系统管理员和网站管理员非常喜爱的工具，这使得它成为吸引黑猫目标受害者的理想诱饵。

研究人员指出：“当用户在 Bing 搜索引擎上搜索‘WinSCP下载’时，相关的恶意广告会显示在自然搜索结果之上。该广告指向一个可疑网站，其中包含有关如何使用 WinSCP 自动化文件传输的教程。”

接下来，用户将被引导访问一个名为 winsccp[.]com 的伪造 WinSCP 下载网页，该地址类似于真实的 WinSCP 网站
winscp.net。用户在该页面上会被提示下载一个恶意的 ISO 文件。

该 ISO 文件包含两个文件：setup.exe（重命名的 msiexec.exe 可执行文件）和 msi.dll，这是一个
的 DLL，作为真实 WinSCP 安装程序的投放器，以及一个恶意的 Python执行环境，用于下载 信标。

攻击者的工具包

Cobalt Strike 是一种红队渗透测试工具，用于攻击模拟，破解版本在威胁行为者中越来越受到欢迎。

该攻击使用的其他工具包括 AdFind，它用于从 Active Directory 环境中检索和显示信息。“在威胁行为者手中，AdFind可以被滥用来枚举用户帐户、提升权限，甚至提取密码哈希，”Trend Micro 的报告指出。

研究人员还观察到，攻击者使用了 AccessChk64，这是 Sysinternals 开发的命令行工具，主要用于检查 Windows中对象的安全权限和访问权限。尽管攻击者使用此工具的目的并不明确，但该工具可以用于获取有关分配给用户和组的权限的见解，以及用于提升权限和识别访问控制设置较弱的文件、目录或服务。

攻击者利用 Windows 命令行工具 findstr 在被攻陷系统的 XML 文件中搜索特定字符串。

“