Phần mềm tống tiền Vice Society sử dụng công cụ đánh cắp dữ liệu PowerShell mới trong các cuộc tấn công

Nhóm ransomware Vice Society đang triển khai một tập lệnh PowerShell mới, khá tinh vi để tự động lấy cắp dữ liệu từ các mạng bị xâm nhập.

Đánh cắp dữ liệu của công ty và khách hàng là một chiến thuật tiêu chuẩn trong các cuộc tấn công bằng mã độc tống tiền để sử dụng làm đòn bẩy tiếp theo khi tống tiền nạn nhân hoặc bán lại dữ liệu cho tội phạm mạng khác để thu lợi nhuận tối đa.

Công cụ lọc dữ liệu mới của Vice Society hoàn toàn tự động và sử dụng các tệp nhị phân và tập lệnh "sống ngoài đất liền" không có khả năng kích hoạt cảnh báo từ phần mềm bảo mật, giữ cho các hoạt động của chúng được ẩn giấu trước bước cuối cùng của cuộc tấn công ransomware, mã hóa dữ liệu.

Lọc PowerShell

Công cụ đánh cắp dữ liệu mới được Đơn vị 42 của Palo Alto Networks phát hiện trong quá trình ứng phó sự cố vào đầu năm 2023, khi những người ứng cứu khôi phục một tệp có tên "w1.ps1" từ mạng của nạn nhân và cụ thể hơn là được tham chiếu trong ID sự kiện 4104: Tập lệnh Chặn sự kiện ghi nhật ký.

Tập lệnh sử dụng PowerShell để tự động lọc dữ liệu và bao gồm nhiều hàm, bao gồm Work(), Show(), CreateJobLocal() và fill().

Bốn chức năng này được sử dụng để xác định các thư mục tiềm năng để trích xuất, xử lý các nhóm thư mục và cuối cùng là trích xuất dữ liệu thông qua các yêu cầu HTTP POST tới máy chủ của Vice Society.

Tổng quan về các chức năng của tập lệnh 

Mặc dù dường như có một số chức năng tự động trong tập lệnh để xác định tệp nào bị đánh cắp, nhưng vẫn có một danh sách bao gồm và loại trừ chính để giúp tinh chỉnh những tệp nào bị đánh cắp.

Ví dụ: tập lệnh sẽ không lấy cắp dữ liệu từ các thư mục có tên bao gồm các chuỗi phổ biến để sao lưu, thư mục cài đặt chương trình và thư mục hệ điều hành Windows.

Tuy nhiên, nó sẽ nhắm mục tiêu cụ thể đến các thư mục  chứa hơn 433 chuỗi  bằng tiếng Anh, tiếng Séc, tiếng Đức, tiếng Litva, tiếng Luxembourg, tiếng Bồ Đào Nha và tiếng Ba Lan, nhấn mạnh vào tiếng Đức và tiếng Anh.

Tập lệnh PowerShell sử dụng các lệnh ghép ngắn gốc của hệ thống như “Get-ChildItem” và “Select-String” để tìm kiếm và trích xuất dữ liệu từ máy bị nhiễm, giảm thiểu dấu vết của máy và duy trì cấu hình ẩn.

Một khía cạnh thú vị khác của bộ lọc dữ liệu mới của Vice Society là việc triển khai giới hạn tốc độ của nó, đặt tối đa 10 công việc chạy đồng thời của năm nhóm thư mục để tránh chiếm dụng quá nhiều tài nguyên có sẵn của máy chủ.

Mặc dù mục tiêu cụ thể đằng sau điều này là không rõ ràng, nhưng Đơn vị 42 nhận xét rằng nó phù hợp với các phương pháp mã hóa tốt nhất và thể hiện mức độ chuyên nghiệp của mã hóa tập lệnh.

sơ đồ chức năng w1.ps1

Tập lệnh đánh cắp dữ liệu mới của Vice Society sử dụng các công cụ “sống ngoài đất liền” để tránh bị hầu hết các phần mềm bảo mật phát hiện và có tính năng đa xử lý và xếp hàng theo quy trình để giữ cho dấu chân của nó nhỏ và hoạt động của nó lén lút.

Đơn vị 42 nhận xét rằng cách tiếp cận này khiến việc phát hiện và săn lùng trở nên khó khăn, mặc dù các nhà nghiên cứu bảo mật đã đưa ra lời khuyên về mặt đó ở cuối báo cáo của họ.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.