Twisted Spider 组织积极使用 DanaBot 木马作为危险恶意软件的传播渠道。
微软报告了新一波 CACTUS 勒索软件攻击,利用恶意广告部署DanaBot工具作为初始访问媒介。
就在几天前,Arctic Wolf专家已经研究了一次类似的活动,该活动利用Qlik Sense 商业智能平台中的漏洞渗透目标环境并用 CACTUS 勒索软件感染它们,但这些网络事件的差异比乍看起来要多。一眼。
Microsoft 威胁情报专家指出,DanaBot 恶意软件是一种多功能工具,可以充当信息窃取程序和后门,其感染导致了黑客 Storm-0216(Twisted Spider,UNC2198)的积极行动。结果,这导致了 CACTUS 勒索软件的传播,该公司在 禁止平台上的 一系列出版物中报告了该勒索软件。
DanaBot 在很多方面与 Emotet、TrickBot、 QakBot和 IcedID 等工具相似。此外,正如Mandiant在 2021 年 2 月详细介绍 的那样,Storm-0216 组织此前曾被观察到使用 IcedID 部署 Maze 和 Egregor 等勒索软件系列 。
据微软称,在审查的活动中,攻击者最初还使用了 QakBot 提供的初始访问权限。向 DanaBot 的运营过渡可能与 2023 年 8 月的协调执法行动有关,该行动 导致 QakBot 基础设施被拆除。
使用 DanaBot 收集的凭据通常会传输到攻击者的服务器,然后通过RDP进行横向移动,最后进行数据加密。
新一波 Storm-0216 网络攻击展示了攻击者在规避安全措施和使用 DanaBot 等新工具方面的持续创造力。公司需要定期更新其安全系统并掌握最新威胁以保护其数据。
保持警惕并采取积极主动的网络安全方法是应对日益复杂的网络犯罪分子攻击的唯一可靠方法。
转自安全客,原文链接:https://www.anquanke.com/post/id/291647
封面来源于网络,如有侵权请联系删除