DragonForce Malaysia 发布 LPE Exploit,威胁勒索软件 – DARKReading

黑客组织 DragonForce Malaysia 发布了一个漏洞,允许 Windows Server 本地权限提升 (LPE) 授予对本地分发路由器 (LDR) 功能的访问权限。 它还宣布将在其武器库中增加勒索软件攻击。

该组织于 6 月 23 日在其 Telegram 频道上发布了该漏洞的概念证明 (PoC),随后 CloudSEK 分析 本星期。 虽然该漏洞没有已知的 CVE,但该组织声称该漏洞可用于“在一秒钟内远程”绕过身份验证,以访问 LDR 层,该层用于在组织的不同位置互连本地网络。

该组织表示,它将在针对在印度运营的企业的活动中使用该漏洞,这些企业直接属于其控制范围。 在过去的三个月里,DragonForce Malaysia 针对中东和亚洲的众多政府机构和组织发起了多项活动。

Radware 网络威胁情报部门研究负责人 Daniel Smith 表示:“DragonForce Malaysia 增加了一个因地缘政治动荡而被人们铭记的一年。“与其他黑客活动家一起,威胁组织成功地填补了 Anonymous 留下的空白同时在与俄罗斯/乌克兰战争有关的黑客活动卷土重来期间保持独立。”

最近一次被称为“OpsPatuk”并于 6 月推出,已经看到全国多个政府机构和组织成为数据泄露和拒绝服务攻击的目标,破坏的网站数量超过 100 个。

史密斯说:“在可预见的未来,预计马来西亚龙力将继续根据他们的社会、政治和宗教派别来定义和发起新的反动运动。”马来西亚龙力最近的行动……应该提醒世界各地的组织他们应该留下来在这些时期保持警惕,并意识到威胁存在于当前 东欧的网络冲突。”

为什么 LPE 应该出现在修补雷达上

虽然不像远程代码执行 (RCE) 那样华丽,LPE漏洞利用 提供从普通用户到 SYSTEM 的路径,本质上是 Windows 环境中的最高权限级别。 如果被利用,LPE 漏洞不仅可以让攻击者进入大门,还可以提供本地管理员权限,以及访问网络上最敏感的数据。

通过这种更高级别的访问,攻击者可以进行系统修改,从存储的服务中恢复凭据,或者从正在使用或已通过该系统身份验证的其他用户恢复凭据。 恢复其他用户的凭据可以让攻击者冒充这些用户,为网络上的横向移动提供路径。

通过提升权限,攻击者还可以执行管理任务、执行恶意软件、窃取数据、执行后门以获得持久访问权限等等。

CloudSEK 的首席威胁研究员 Darshit Ashara 提供了一个示例攻击场景。

“团队中的攻击者可以轻松利用任何简单的基于 Web 应用程序的漏洞来获得初步立足点并放置基于 Web 的后门,”Ashara 说。 “通常,托管 Web 服务器的机器将具有用户权限。 这就是 LPE 漏洞利用将使威胁行为者获得更高权限的地方,不仅可以破坏单个网站,还可以破坏服务器上托管的其他网站。”

LPE 漏洞经常未打补丁

信息安全咨询公司 LARES Consulting 的对抗性工程总监 Tim McGuffin 解释说,大多数组织都在等待修补 LPE 漏洞,因为它们通常首先需要对网络或端点的初始访问权限。

“最初的访问预防投入了很多精力,但你越深入攻击链,在特权升级、横向移动和持久性等策略上投入的精力就越少,”他说。 “这些补丁通常按季度进行优先排序和打补丁,并且不使用紧急的‘立即打补丁’流程。”

Digital Shadows 的高级网络威胁情报分析师 Nicole Hoffman 指出,每个漏洞的重要性都不同,无论是 LPE 还是 RCE。

“并非所有漏洞都可以被利用,这意味着并非每个漏洞都需要立即关注。 这是一个个案的基础,”她说。 “几个 LPE 漏洞还有其他依赖关系,例如需要用户名和密码才能执行攻击。 这并非不可能获得,但需要更高水平的复杂性。”

Hoffman 补充说,许多组织还为个人用户创建本地管理员帐户,因此他们可以执行日常 IT 功能,例如在自己的机器上安装自己的软件。

“如果许多用户拥有本地管理员权限,则更难检测网络中的恶意本地管理员操作,”她说。 “由于广泛使用的不良安全实践,攻击者很容易融入正常操作。”

她解释说,每当一个漏洞被释放到野外时,很快就会有不同程度的网络犯罪分子利用并进行机会主义攻击。

“一个漏洞利用了一些这样的跑腿工作,”她指出。 “实际上可能已经针对此漏洞进行了大规模扫描。”

Hoffman 补充说,垂直权限升级需要更多复杂性,并且通常更符合高级持续威胁 (APT) 方法。

DragonForce 计划转向勒索软件

在一段视频中和通过社交媒体渠道,黑客组织还宣布了其计划开始 进行大规模勒索软件攻击. 研究人员表示,这可能是其黑客活动的附属品,而不是离开。

“DragonForce 提到利用他们创建的漏洞进行广泛的勒索软件攻击,”霍夫曼解释说。 “如果以经济利益为最终目标,WannaCry 勒索软件攻击就是一个很好的例子,说明同时广泛的勒索软件攻击是多么具有挑战性。”

她还指出,从网络犯罪威胁组织中看到这些公告并不少见,因为它引起了对该组织的关注。

然而,从 McGuffin 的角度来看,公开宣布改变策略是“一种好奇心”,尤其是对于一个黑客激进组织而言。

“他们的动机可能更多是为了破坏和拒绝服务,而不是像典型的勒索软件组织那样为了牟利,但他们可能会利用这笔资金来增强他们的黑客活动能力或对其事业的认识,”他说。

Ashara 同意 DragonForce 的计划转变值得强调,因为该组织的动机是造成尽可能多的影响,提升他们的意识形态,并传播他们的信息。

“因此,该组织发布勒索软件的动机不是出于经济原因,而是为了造成损害,”他说。 “我们过去曾看到过类似的擦除恶意软件,它们会使用勒索软件并假装动机是财务,但根本动机是损害。”


阅读更多

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注