聲明：該文章由作者（林柏欣）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

在對 Colonial Pipeline 發(fā)起勒索軟件攻擊，引發(fā)美國全國性公眾恐慌和天然氣價格暴漲之后，該事件的主導者 DarkSide 宣布投降，并同意為所有勒索軟件目標提供解密器。雖然該集團投降的消息令人振奮，但使用其勒索軟件的不良分子所構成的威脅并沒有消除。

援引 RiskIQ 報道，安全研究人員發(fā)現(xiàn)與 UNC2465 有關的一些基礎設施（該組織用來部署 DarkSide 勒索軟件以外的惡意軟件）仍在運行，并可能構成威脅。

安全公司 FireEye 表示，至少有一個黑客聯(lián)盟使用釣魚郵件和合法服務來提供 SMOKEDHAM（基于 PowerShell 的.NET 后門）。在 FireEye 報告的一個 LNK 文件，以及 RiskIQ 通過互聯(lián)網(wǎng)情報發(fā)現(xiàn)的另一個 LNK 文件中，在 PowerShell 腳本中都連接到了相同的兩個 URL。其中一個是 Shopify 的鏈接，另一個 FireEye 并沒有提及。DarkSide 關聯(lián)集團對 Shopify 平臺的使用并沒有在公開資料中公布。

Shopify 是一個用于在線零售商和零售點系統(tǒng)的電子商務平臺，據(jù)說已被網(wǎng)絡行為者用于數(shù)百次活動中。RiskIQ 的 Shopify 鏈接指向另一個嵌入網(wǎng)站上一些 VBScript 的 URL，F(xiàn)ireEye 聲稱該聯(lián)盟將其作為 EMPIRE C2 使用。RiskIQ 在這個頁面上發(fā)現(xiàn)了一個重定向，指向第二個 Shopify 鏈接，而這個鏈接又指向第三個。

這第三個 Shopify 主機上托管的文件包含 PowerShell 代碼，這就是 FireEye 提到的 SMOKEDHAM.NET 后門。RiskIQs 對該代碼的審查顯示，它能夠執(zhí)行鍵盤記錄、屏幕截圖和執(zhí)行任意.NET命令，所有這些都與FireEye對SMOKEDHAM的定義一致。

UNC2465獲得的數(shù)據(jù)被提交給一個服務器作為用戶代理，使用受害者當前的平臺標識符和版本數(shù)量。這個主機利用了微軟Azure云主機的優(yōu)勢。雖然研究人員發(fā)現(xiàn)的主機已不再活躍，但截至5月17日，惡意文件以及C2仍在活躍。

據(jù)FireEye稱，UNC2628 組織已經(jīng)與其他 RaaS 供應商形成聯(lián)盟，如Sodinokibi（又名REvil）和Netwalker。RiskIQ在審查FireEye發(fā)布的BEACON C2時發(fā)現(xiàn)了一個與lagrom.com有關的惡意軟件樣本。根據(jù)VirusTotal的檢測，這個樣本是通過Cobalt Strike交付的Sodinokibi勒索軟件。

即使DarkSide RaaS不再運行，一些支持性的基礎設施仍在運行，并可以提供惡意軟件，盡管目前大多數(shù)都已經(jīng)不再活躍。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/