研究人員發現,勒索軟體駭客組織BlackByte在攻擊行動裡,利用2個月前VMware修補的身分驗證漏洞CVE-2024-37085,以便控制ESXi虛擬化平臺
今年6月VMware修補虛擬化平臺ESXi的身分驗證繞過漏洞CVE-2024-37085,隔月微軟警告有多個勒索軟體駭客組織將其用於攻擊行動,如今也有其他駭客組織跟進。
根據思科旗下威脅情報團隊Talos的監控,勒索軟體駭客組織BlackByte就是一例。
BlackByte疑似透過暴力破解取得初始存取權限,利用VPN存取受害組織內部網路環境,然後入侵2個管理員層級的帳號提升權限,其中1個帳號的用途,是存取vCenter伺服器;接著,攻擊者為每個ESXi伺服器設置AD網域物件並加入網域,然後又建立其他帳號並加入名為ESX Admins的AD群組。駭客這麼做,是為了利用CVE-2024-37085,從而讓該群組的成員提升在ESXi的權限,控制虛擬機器(VM)、竄改伺服器配置、存取系統事件記錄,或是監控效能。
這些駭客利用SMB及RDP這兩個遠端存取管道,進入受害組織的其他系統、資料夾及檔案,並透過NTLM進行身分驗證。他們也藉由竄改系統登錄檔,或是手動從重要系統移除EDR系統的方式,來降低受害組織的資安防護強度,其中1起事故駭客甚至竄改ESXi主機的root密碼。
值得留意的是,這些駭客除了利用上述漏洞,攻擊手法也出現變化,首先,是勒索軟體在啟動的過程中,會一口氣部署4個用於自帶驅動程式(BYOVD)攻擊的驅動程式,這些元件來自微星系統超頻工具Afterburner、Dell用戶端韌體更新工具、技嘉主機板公用程式,以及防毒軟體Zemana。這些駭客並非首度濫用合法驅動程式,但研究人員指出,過往這些駭客只會運用2至3支驅動程式。
此外,駭客在偵察過程濫用特定使用者帳號,並利用SRVSVC命名管道及特定功能,找出網路環境的共用資料夾。
在此同時,駭客會竄改Windows電腦的登錄機碼,停用防毒軟體Microsoft Defender,並將EXE檔列入白名單,然後刪除System32資料夾的特定檔案,例如:taskmgr.exe、perfmon.exe、shutdown.exe。
