找回密码
 立即注册
搜索

“绅士” 勒索软件借助 SystemBC 发动僵尸网络攻击

作者:admin | 时间:2026-4-22 05:07:52 | 阅读:146| 显示全部楼层

马上注册,让你轻松玩转程序园

您需要 登录 才可以下载或查看,没有账号?立即注册

x
在对“绅士”勒索软件团伙成员发动的一起攻击展开调查后,发现了一个由超过1570台主机组成的SystemBC代理恶意软件僵尸网络,这些主机疑似为企业受害者。

“绅士”勒索软件即服务(RaaS)运营活动于2025年年中左右出现,提供一款基于Go语言的加密程序,可对Windows、Linux、网络附属存储(NAS)和BSD系统进行加密,以及一款基于C语言的针对ESXi虚拟机管理程序的加密程序。

去年12月,该勒索软件攻击了罗马尼亚最大的能源供应商之一——奥尔泰尼亚能源综合体。本月初,Adaptavist集团披露了一起数据泄露事件,“绅士”勒索软件已将相关信息发布在其数据泄露网站上。

尽管该RaaS运营活动公开宣称约有320名受害者,且大多数攻击发生在今年,但Check Point研究人员发现,“绅士”勒索软件团伙成员正在扩充其攻击工具包和基础设施。

在一次事件响应行动中,研究人员发现该勒索软件运营活动的一名成员试图部署代理恶意软件,以秘密交付有效载荷。

研究人员在今日发布的一份报告中指出:“Check Point Research观察到来自相关SystemBC命令与控制服务器的受害者遥测数据,显示存在一个由超过1570名受害者组成的僵尸网络。感染特征强烈表明,攻击重点是企业和组织环境,而非随机针对普通用户。”

SystemBC至少从2019年就已存在,用于SOCKS5隧道代理。由于它能够交付恶意有效载荷,很快就被勒索软件团伙采用。尽管2024年的一次执法行动对其产生了影响,但该僵尸网络仍在活动。去年,黑莲花实验室报告称,它每天感染1500台商业虚拟专用服务器(VPS),以传输恶意流量。

据Check Point称,与“绅士”勒索软件部署SystemBC相关的受害者大多位于美国、英国、德国、澳大利亚和罗马尼亚。

Check Point表示:“用于通信的特定命令与控制服务器已感染全球大量受害者。鉴于SystemBC通常作为人为操作的入侵工作流程的一部分进行部署,而非大规模随机攻击,这些受害者很可能大多数是公司和组织。”

研究人员不确定SystemBC在“绅士”勒索软件生态系统中的具体作用,也无法确定该恶意软件是否被多个团伙成员使用。

感染链与加密机制

尽管Check Point无法确定所观察到的攻击中的初始访问途径,但研究人员表示,“绅士”威胁行为者是通过具有域管理员权限的域控制器进行操作的。

从那里,攻击者检查哪些凭据可用,并在通过远程过程调用(RPC)向远程系统部署Cobalt Strike有效载荷之前进行侦察。

攻击者利用Mimikatz进行凭据收集,并通过远程执行实现横向移动。他们从内部服务器部署勒索软件,并利用内置的传播功能和组策略(GPO),在加入域的系统上几乎同时触发加密程序的执行。

1.png

据研究人员称,该恶意软件采用基于X25519(迪菲-赫尔曼密钥交换)和XChaCha20的混合加密方案,为每个文件生成一个随机临时密钥对。

小于1MB的文件会被完全加密,而较大文件仅约9%、3%或1%的数据块会被加密。

在加密之前,“绅士”勒索软件会终止数据库、备份软件和虚拟化进程,并删除卷影副本和日志。ESXi版本还会关闭虚拟机,以确保磁盘可以被加密。

“绅士”勒索软件并不常成为头条新闻,但Check Point警告称,该RaaS运营活动正在迅速发展,通过地下论坛招募新的勒索软件团伙成员。

研究人员认为,结合使用SystemBC、Cobalt Strike以及由1570台主机组成的僵尸网络,可能表明“绅士”勒索软件团伙如今的运作水平有所提升,“积极融入成熟的、利用后的框架和代理基础设施组成的更广泛工具链”。

除了从调查事件中收集的入侵指标(IoCs)外,Check Point还以YARA规则的形式提供基于签名的检测方法,帮助安全防御人员防范此类攻击。
您需要登录后才可以回帖 登录 | 立即注册
黑客现已利用关键 Oracle E-Business 漏洞发起攻击
黑客现已利用关键 Oracle E-Business 漏洞发起攻击
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应用程序中的一个关键漏
关键 SimpleHelp 漏洞被利用以部署新型窃密恶意软件
关键 SimpleHelp 漏洞被利用以部署新型窃密恶意软件
黑客正在利用 SimpleHelp 中一个最近披露的关键漏洞(CVE-2026-48558)来部署 Djinn Stealer,这是一种此前
美国查封数百个 FIFA 世界杯非法流媒体域名
美国查封数百个 FIFA 世界杯非法流媒体域名
美国司法部刑事局查封了近 400 个用于非法流媒体播放 FIFA 世界杯比赛的网站域名。这些网站向访问者提供 20
Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客
Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜黑客组织 Sapphire Sle
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案错误地标记为恶意软件
日本能源公司丢失存储有 1090 万客户数据的硬盘
日本能源公司丢失存储有 1090 万客户数据的硬盘
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一份官方公告中,该公司
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属机构运营的,负责实施
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和
皇家山大学确认遭入侵,黑客声称对攻击负责
卡尔加里的皇家山大学表示,黑客在入侵该校网络后,从其文件存储系统中窃取并删除了数
严重漏洞暴露 GitHub Agentic Workflows 面
Noma Labs 警告称,GitHub Agentic Workflows 中存在一个严重的提示注入漏洞,可能允
Google Dialogflow CX 漏洞可让攻击者劫持
Varonis 报告称,Google Cloud 的 Dialogflow CX 服务中存在一个漏洞,可能允许攻击者
Оправы Медицинские Дл
Чтобы выбрать качественные солнцезащитные
Citrix 修复六个 NetScaler 漏洞,涉及文件
Citrix 周二发布了安全更新,以解决 NetScaler ADC 和 NetScaler Gateway 中的多个漏
"DirtyClone" Linux 内核漏洞可获取 Root
JFrog 发布了针对近期一个高严重性 Linux 内核漏洞的技术细节和概念验证代码,该漏洞
日产披露与 Oracle 零日攻击相关的员工数据
日产汽车警告称,在威胁行为者利用 Oracle PeopleSoft 漏洞进行与此前与 ShinyHunters
黑客现已利用关键 Oracle E-Business 漏洞
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应
Microsoft 将 Mastra AI 供应链攻击归因于
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜
Siemens 称 Desigo CC 文件被安全引擎标记
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案