今年6月VMware修补虚拟化平台ESXi的身分验证绕过漏洞CVE-2024-37085，隔月微软警告有多个勒索软件黑客组织将其用于攻击行动，如今也有其他黑客组织跟进。

根据思科旗下威胁情报团队Talos的监控，勒索软件黑客组织BlackByte就是一例。

BlackByte疑似通过暴力破解取得初始存取权限，利用VPN存取受害组织内部网络环境，然后入侵2个管理员层级的帐号提升权限，其中1个帐号的用途，是存取vCenter服务器；接着，攻击者为每个ESXi服务器设置AD网域对象并加入网域，然后又创建其他帐号并加入名为ESX Admins的AD群组。黑客这么做，是为了利用CVE-2024-37085，从而让该群组的成员提升在ESXi的权限，控制虚拟机（VM）、窜改服务器配置、存取系统事件记录，或是监控性能。

这些黑客利用SMB及RDP这两个远程存取管道，进入受害组织的其他系统、文件夹及文件，并通过NTLM进行身分验证。他们也借由窜改系统注册表，或是手动从重要系统移除EDR系统的方式，来降低受害组织的资安防护强度，其中1起事故黑客甚至窜改ESXi主机的root密码。

值得留意的是，这些黑客除了利用上述漏洞，攻击手法也出现变化，首先，是勒索软件在启动的过程中，会一口气部署4个用于自带驱动程序（BYOVD）攻击的驱动程序，这些组件来自微星系统超频工具Afterburner、Dell用户端固件更新工具、技嘉主板公用程序，以及杀毒软件Zemana。这些黑客并非首度滥用合法驱动程序，但研究人员指出，过往这些黑客只会运用2至3支驱动程序。

此外，黑客在侦察过程滥用特定用户帐号，并利用SRVSVC命名管道及特定功能，找出网络环境的共用文件夹。

在此同时，黑客会窜改Windows电脑的登录机码，停用杀毒软件Microsoft Defender，并将EXE档列入白名单，然后删除System32文件夹的特定文件，例如：taskmgr.exe、perfmon.exe、shutdown.exe。