信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

自4月份以來，惡意分子通過Phorpiex僵尸網(wǎng)絡(luò)發(fā)送了數(shù)百萬封釣魚電子郵件，以開展大規(guī)模的LockBit Black勒索軟件活動。

網(wǎng)絡(luò)安全和通信集成小組(NJCCIC)警告說，攻擊者使用包含部署LockBit Black有效負(fù)載的可執(zhí)行文件的ZIP附件，該有效負(fù)載一旦啟動就會對接收者的系統(tǒng)進(jìn)行加密。

這些攻擊中部署的LockBit Black加密器很可能是開發(fā)人員于2022年9月在Twitter上泄露的LockBit 3.0構(gòu)建器構(gòu)建的。不過，據(jù)悉該活動與實際的LockBit勒索軟件操作沒有任何關(guān)系。

這些網(wǎng)絡(luò)釣魚電子郵件帶有“您的文檔”和“您的照片”主題時使用“Jenny Brown”或“Jenny Green”別名從全球1500多個唯一IP地址發(fā)送。

當(dāng)收件人打開惡意ZIP存檔附件并執(zhí)行其中的二進(jìn)制文件時，攻擊鏈就開始了。然后，該可執(zhí)行文件從Phorphiex僵尸網(wǎng)絡(luò)的基礎(chǔ)設(shè)施下載LockBit Black勒索軟件樣本，并在受害者的系統(tǒng)上執(zhí)行。啟動后，它將嘗試竊取敏感數(shù)據(jù)、終止服務(wù)和加密文件。

網(wǎng)絡(luò)釣魚電子郵件樣本

LockBit Black勒索字條Phorpiex僵尸網(wǎng)絡(luò)（也稱為Trik）已經(jīng)活躍了十多年，它是由一種通過r傳播的蠕蟲進(jìn)化而來的。

網(wǎng)絡(luò)安全公司Proofpoint自4月24日以來一直在調(diào)查這些攻擊，該公司表示，威脅分子的目標(biāo)是全球各個垂直行業(yè)的公司。

盡管這種方法并不新鮮，但發(fā)送大量電子郵件來傳遞惡意負(fù)載以及用作第一階段負(fù)載的勒索軟件使其格外突出，盡管它缺乏其他網(wǎng)絡(luò)攻擊的復(fù)雜性。

Proofpoint安全研究人員表示，從2024年4月24日開始，Proofpoint觀察到由Phorpiex僵尸網(wǎng)絡(luò)發(fā)起的大量活動，其中包含數(shù)百萬條消息，并傳播LockBit Black勒索軟件。

這是Proofpoint研究人員第一次觀察到LockBit Black勒索軟件（又名LockBit 3.0）樣本通過Phorphiex大量傳播。

LockBit Black勒索信

Phorpiex僵尸網(wǎng)絡(luò)（也稱為Trik）已經(jīng)活躍了十多年。它從通過可移動USB存儲和Skype或Windows Live Messenger聊天傳播的蠕蟲演變?yōu)槭褂美]件傳遞的IRC控制的木馬。

經(jīng)過多年的活動和發(fā)展，該僵尸網(wǎng)絡(luò)慢慢發(fā)展壯大，控制了超過100萬臺受感染的設(shè)備，該僵尸網(wǎng)絡(luò)的運營商在關(guān)閉Phorpiex基礎(chǔ)設(shè)施后，試圖在黑客論壇上出售惡意軟件的源代碼。

Phorpiex僵尸網(wǎng)絡(luò)還被用來發(fā)送數(shù)百萬封勒索電子郵件（每小時發(fā)送超過30000封垃圾郵件），并且最近使用剪貼板劫持者模塊將復(fù)制到Windows剪貼板的加密貨幣錢包地址替換為攻擊者控制的地址。

在添加加密剪裁支持后的一年內(nèi)，Phorpiex的運營商劫持了969筆交易，并竊取了3.64比特幣（172300美元）、55.87以太幣（216000美元）和價值55000美元的ERC20代幣。

為了防御推送勒索軟件的網(wǎng)絡(luò)釣魚攻擊，NJCCIC建議實施勒索軟件風(fēng)險緩解策略，并使用端點安全解決方案和電子郵件過濾解決方案（如垃圾郵件過濾器）來阻止?jié)撛诘膼阂庀ⅰ?/p>