研究人员发现,由于美国的制裁,使得该网络犯罪集团难以从其攻击活动中获得经济利益后,该犯罪集团再次改变了攻击策略,这次转向使用了LockBit勒索软件。
Mandiant Intelligence的研究人员一直在追踪一个有经济犯罪动机的网络威胁团伙,他们被称之为UNC2165,它与Evil Corp有许多相似之处,这很可能是该集团最新的身份。
研究人员在周四发表的一份报告中写道,UNC2165正在使用FakeUpdates感染链来获得对目标网络的访问权限,然后使用LockBit勒索软件来获得赎金。他们写道,这项攻击活动似乎是Evil Corp攻击者的另一种新的攻击方式。
研究人员写道,许多调查报告都报道了相关攻击活动的最新进展,包括开发新的勒索软件并且减少对Dridex的依赖程度,尽管这些方式能够很好的隐藏攻击者的身份,但UNC2165与Evil Corp的攻击行动还是有很明显的相似之处。
美国财政部外国资产管制处(OFAC)于2019年12月制裁了Evil Corp,对这个作案多起的网络犯罪集团进行了广泛的打击,该集团由于传播上述用以窃取信息的Dridex恶意软件和他们自己的WastedLocker勒索软件而闻名。
该制裁措施基本上禁止了任何美国实体与该集团进行贸易往来以及建立任何联系,该措施能够有效地防止美国金融公司为该集团的赎金支付提供便利,也能够限制其在犯罪活动中的获利。
隐藏的网络犯罪分子
在大量的制裁以及随后对其领导人的起诉后,Evil Corp暂时停顿了一下,但此后通过巧妙的塑造新的品牌来继续其恶意的攻击行为。
事实上,它最近的身份转变并不是该组织第一次使用不同的身份来试图规避对它的制裁。据报道,大约一年前,Evil Corp曾经试图通过使用一款名为PayloadBin的勒索软件来掩盖自己的身份,研究人员发现这可能是该集团WastedLocker勒索软件的最新版。
在此之前,该组织在外国资产管制处制裁后不久后又短暂出现,并采取了新的攻击策略来尝试掩盖其身份。他们使用HTML重定向器或者使用meta刷新标签将用户重定向到另一个网站等攻击手段,然后使用恶意的Excel文件来投放有效载荷。
最新的攻击身份
据Mandiant称,Evil Corp的最新攻击活动几乎完全是在一个名为UNC1543的组织的支持下进入到了受害者的网络中的,因为在攻击中使用的FakeUpdates工具与该组织有密切关联。在政府起诉Evil Corp之前的几个月里,这种方法一直被用作Dridex和BitPaymer以及DoppelPaymer勒索软件的初始感染载体。
研究人员说,Evil Corp最近还在部署其他勒索软件,特别是Hades。他们说,Hades的代码和功能与其他勒索软件有很多相似之处,研究发现该工具与Evil Corp相关的威胁攻击者有密切关系。
研究人员说,使用其他的勒索软件的确可以使Evil Corp保持很好的隐秘性。
然而,他们说,LockBit比Hades更为自然,因为它使用的RaaS模式是近几年才出现的模式。事实上,LockBit在去年已经攻下了一些大名鼎鼎的目标,如埃森哲和曼谷航空。
研究人员写道,使用这个RaaS模式可以使UNC2165与其他网络攻击集团更难区分开。此外,频繁的更新代码以及重塑品牌需要大量的开发资源投入,UNC2165认为使用LOCKBIT是一个更具成本效益的选择,这是值得的。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
