近期出现了一场针对企业组织的复杂勒索软件攻击,攻击者通过被盗的第三方托管服务提供商(MSP)凭据发起攻击,展现了 2025 年网络犯罪分子不断演变的攻击手段。
Sinobi 组织作为 “勒索软件即服务”(Ransomware-as-a-Service,RaaS)联盟成员,成功入侵企业网络 —— 其手段是利用 SonicWall SSL VPN 凭据,而这些凭据关联到权限过高、拥有域管理员权限的 Active Directory(活动目录)账户。
此次攻击活动体现了一个值得警惕的趋势:威胁行为者利用可信的第三方关系获取初始网络访问权限,从而绕过传统的边界防御措施。
攻击者进入网络后,通过创建新的管理员账户建立持久化访问,并在受入侵的基础设施中横向移动,最终在本地和共享网络驱动器上部署 Sinobi 勒索软件有效载荷。
eSentire(网络安全公司)的分析师发现,Sinobi 勒索软件与此前已知的 Lynx 勒索软件存在大量代码重叠,这表明 Sinobi 可能是 2024 年首次出现的 Lynx 勒索软件即服务(RaaS)业务的 “品牌重塑” 版本。
安全研究人员有中等把握指出,Lynx 组织很可能通过地下黑客论坛,从一名名为 “salfetka” 的用户手中购买了 INC 勒索软件的源代码 —— 这一现象凸显了勒索软件开发工具的商业化趋势。
Lynx 与 Sinobi 泄露网站对比(来源:eSentire)
该恶意软件的技术成熟度体现在其系统性的操作流程中:先禁用安全控制措施,再最大化加密造成的影响。 获得访问权限后,威胁行为者尝试通过 Revo 卸载器(Revo Uninstaller)和命令行操作卸载 Carbon Black EDR(终端检测与响应工具),最终在映射网络驱动器上发现注销代码后,成功完成卸载。高级加密与数据窃取机制
Sinobi 勒索软件采用了强大的加密实现方案,结合 Curve-25519 Donna 算法与 AES-128-CTR 加密算法,若没有攻击者的私钥,文件恢复将无从谈起。 该恶意软件通过 CryptGenRandom 函数为每个文件生成唯一的加密密钥,确保加密密钥生成过程的密码学安全性,从而彻底断绝了潜在的解密可能。 在执行加密操作前,勒索软件会通过复杂技术系统化地准备目标环境:利用 DeviceIOControl 函数与 IOCTL_VOLSNAP_SET_MAX_DIFF_AREA_SIZE 控制代码,删除卷影副本(用于文件恢复的备份文件)。 恶意软件会执行以下命令序列: plaintextsc config cbdefense start= disabled
cmd /c sc config cbdefense binpath= "C:\programdata\bin.exe" & shutdown /r /t 0勒索通知壁纸(来源:eSentire)
Sinobi 勒索软件会将加密后的文件添加.SINOBI扩展名,并部署包含勒索通知的 README.txt 文件。该通知中包含基于 Tor 网络的通信渠道和付款说明,要求受害者在 7 天内进行谈判,否则被盗数据将被发布到暗网泄露网站。
此次攻击事件凸显了两项措施的关键重要性:一是对远程访问账户实施严格的权限管理,二是避免将安全工具的注销代码存储在可轻易访问的网络位置。
关键术语补充说明
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论