使用臭名昭著的 BlackByte 勒索软件菌株的威胁行为者加入了快速增长的网络犯罪分子的行列,他们以 VMware ESXi 中最近的身份验证绕过漏洞为目标,以破坏企业网络的核心基础设施。该漏洞被跟踪为 CVE-2024-37085,如果 ESXi 主机使用 AD 进行用户管理,则允许对 Active Directory (AD) 具有足够访问权限的攻击者获得对该主机的完全访问权限。热门目标Microsoft 和其他安全供应商之前发现了勒索软件组织,例如 Black Basta(又名 Storm-0506)、Manatee Tempest、Scattered Spider(又名 Octo Tempest)和 Storm-1175,它们利用 CVE-2024-37085 来部署 Akira 和 Black Basta 等勒索软件菌株。在这些攻击中,攻击者使用其 AD 权限创建或重命名一个名为“ESX Admins”的组,然后使用该组以完全特权用户身份访问 ESXi 虚拟机监控程序。BlackByte 对该漏洞的使用代表了该威胁组织扫描和利用面向公众的漏洞(如 Microsoft Exchange 中的 ProxyShell 漏洞)以获得初步立足点的惯常做法的转变。Cisco Talos 的研究人员观察到 BlackByte 威胁行为者在最近的攻击中以 CVE-2024-37085 为目标,他们将这种策略描述为他们最近为领先于防御者而进行的几项更改之一。其他更改包括使用 BlackByteNT,这是一种用 C/C++ 编写的新 BlackByte 加密器,在受感染的系统上删除多达四个易受攻击的驱动程序,而以前是三个,并使用受害者组织的 AD 凭据进行自我传播。Talos 的调查表明,专业、科学和技术服务领域的组织最容易受到攻击,这些攻击涉及使用合法但易受攻击的驱动程序来绕过安全机制,研究人员将这种技术称为自带易受攻击的驱动程序 (BYOVD)。“BlackByte 在编程语言方面从 C# 发展到 Go,然后在其最新版本的加密程序 BlackByteNT 中发展到 C/C++,这代表了提高恶意软件对检测和分析的弹性的刻意努力,”Talos 研究人员 James Nutland、Craig Jackson 和 Terryn Valikodath 在本周的一篇博客文章中写道。“BlackByte 加密器的自我传播特性给防御者带来了额外的挑战。使用 BYOVD 技术加剧了这些挑战,因为它可能会限制遏制和根除工作期间安全控制的有效性。不断变化Keeper Security 首席执行官兼联合创始人 Darren Guccione 表示,BackByte 转向 ESXi 中的 CVE-2024-37085 等漏洞,这表明攻击者如何不断发展其策略、技术和程序以领先于防御者。“BlackByte 和类似的威胁行为者利用 ESXi 中的漏洞表明,他们集中精力破坏企业网络的核心基础设施,”Guccione 说。“鉴于 ESXi 服务器通常托管多个虚拟机,一次成功的攻击就可能导致广泛的破坏,使其成为勒索软件组织的主要目标。”Sygnia 在今年早些时候调查了针对 VMWare ESXi 和其他虚拟化环境的大量勒索软件攻击,称这些攻击在大多数情况下以特定模式展开。攻击链从攻击者通过网络钓鱼攻击、漏洞利用或恶意文件下载获得对目标环境的初始访问权限开始。一旦进入网络,攻击者往往会使用策略(例如更改连接域的 VMware 实例的域组成员资格)或通过 RDP 劫持来获取 ESXi 主机或 vCenter 的凭据。然后,他们验证其凭据,并使用它们在 ESXi 主机上执行勒索软件、破坏备份系统或更改密码,然后泄露数据。企业压力增加研究人员表示,对 ESXi 环境的攻击增加了组织及其安全团队维护多功能安全计划的压力。“这包括强大的漏洞管理、威胁情报共享以及事件响应政策和程序等做法,以跟上不断发展的对手 TTP,”思科 Talos 研究人员说。“在这种情况下,漏洞管理和威胁情报共享将有助于识别对手在攻击(如 ESXi 漏洞)期间可能采取的鲜为人知或新颖的途径。”灾难恢复公司 Fenix24 的联合创始人 Heath Renfrow 表示,对于 CVE-2024-37085,组织面临着额外的挑战,因为人们认为在实施缓解措施方面存在困难。“这些缓解措施包括断开 ESXi 与 AD 的连接,删除 AD 中以前使用的任何管理 ESXi 的组,以及将 ESXi 修补到 8.0 U3,从而修复漏洞,”Renfrow 说。“VMware 是全球使用最广泛的虚拟解决方案,其攻击范围广泛且易于利用。这使得威胁行为者可以轻松获得皇冠上的明珠并迅速造成重大损害。
