本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
自4月份以来,恶意分子通过Phorpiex僵尸网络发送了数百万封钓鱼电子邮件,以开展大规模的LockBit Black勒索软件活动。
网络安全和通信集成小组(NJCCIC)警告说,攻击者使用包含部署LockBit Black有效负载的可执行文件的ZIP附件,该有效负载一旦启动就会对接收者的系统进行加密。
这些攻击中部署的LockBit Black加密器很可能是开发人员于2022年9月在Twitter上泄露的LockBit 3.0构建器构建的。不过,据悉该活动与实际的LockBit勒索软件操作没有任何关系。
这些网络钓鱼电子邮件带有“您的文档”和“您的照片”主题时使用“Jenny Brown”或“Jenny Green”别名从全球1500多个唯一IP地址发送。
当收件人打开恶意ZIP存档附件并执行其中的二进制文件时,攻击链就开始了。然后,该可执行文件从Phorphiex僵尸网络的基础设施下载LockBit Black勒索软件样本,并在受害者的系统上执行。启动后,它将尝试窃取敏感数据、终止服务和加密文件。
网络钓鱼电子邮件样本
LockBit Black勒索字条Phorpiex僵尸网络(也称为Trik)已经活跃了十多年,它是由一种通过r传播的蠕虫进化而来的。
网络安全公司Proofpoint自4月24日以来一直在调查这些攻击,该公司表示,威胁分子的目标是全球各个垂直行业的公司。
尽管这种方法并不新鲜,但发送大量电子邮件来传递恶意负载以及用作第一阶段负载的勒索软件使其格外突出,尽管它缺乏其他网络攻击的复杂性。
Proofpoint安全研究人员表示,从2024年4月24日开始,Proofpoint观察到由Phorpiex僵尸网络发起的大量活动,其中包含数百万条消息,并传播LockBit Black勒索软件。
这是Proofpoint研究人员第一次观察到LockBit Black勒索软件(又名LockBit 3.0)样本通过Phorphiex大量传播。
LockBit Black勒索信
Phorpiex僵尸网络(也称为Trik)已经活跃了十多年。它从通过可移动USB存储和Skype或Windows Live Messenger聊天传播的蠕虫演变为使用垃圾邮件传递的IRC控制的木马。
经过多年的活动和发展,该僵尸网络慢慢发展壮大,控制了超过100万台受感染的设备,该僵尸网络的运营商在关闭Phorpiex基础设施后,试图在黑客论坛上出售恶意软件的源代码。
Phorpiex僵尸网络还被用来发送数百万封勒索电子邮件(每小时发送超过30000封垃圾邮件),并且最近使用剪贴板劫持者模块将复制到Windows剪贴板的加密货币钱包地址替换为攻击者控制的地址。
在添加加密剪裁支持后的一年内,Phorpiex的运营商劫持了969笔交易,并窃取了3.64比特币(172300美元)、55.87以太币(216000美元)和价值55000美元的ERC20代币。
为了防御推送勒索软件的网络钓鱼攻击,NJCCIC建议实施勒索软件风险缓解策略,并使用端点安全解决方案和电子邮件过滤解决方案(如垃圾邮件过滤器)来阻止潜在的恶意消息。