新古巴勒索软件合作伙伴详细信息 媒体

古巴勒索病毒新攻击手法及工具揭秘

关键要点

古巴勒索病毒的攻击事件再度引发广泛关注。根据 BleepingComputer 报道，古巴勒索病毒的合作伙伴 Tropical Scorpius 在最新的攻击中采用了数种新策略和技术。此外，2023年，Tropical Scorpius 开始利用自2019年以来一直使用的古巴勒索病毒负载，添入了一种合法但无效的 NVIDIA 证书用于内核驱动程序的签名，这一举动旨在识别并终止安全产品的进程。

此次攻击还利用了针对 Windows 通用日志文件系统驱动程序的本地权限升级工具。此漏洞被标记为 CVE202224521，攻击者在进行 ADFind 和 Net Scan 等横向移动之前，先利用该工具进行权限升级。此外，Tropical Scorpius 还分享了利用 ZeroLogon 黑客工具来获得域管理员权限的策略。

与此同时，攻击者的新 ROMCOM RAT 木马能够实现连接驱动器数据的返回、文件列表的获取以及 ZIP 文件的上传，这一系列的操作均直接与指挥控制服务器进行交互。

相关链接： 古巴勒索病毒基本了解 Palo Alto Networks Unit 42 报告

此事件再次凸显了网络攻击的持续演变和复杂性，企业需更加重视网络安全，采取更为严密的防护措施。