俄罗斯勒索软件组织重新利用其他APT组织的定制黑客工具

据外媒报道，新的研究发现，一个讲俄语的勒索软件组织可能通过重新利用其他APT组织（如伊朗MuddyWater）开发的定制工具，针对欧洲和中美洲赌博和游戏行业的实体。

以色列事件响应公司Security Joes的研究人员Felipe Duarte和Ido Naor在上周发布的一份报告中说，这种不寻常的攻击链涉及滥用窃取的凭据来获得对受害者网络的未经授权的访问，最终导致在受损资产上部署Cobalt Strike有效载荷。

研究人员表示，尽管在此阶段感染已得到控制，但也将此次入侵描述为疑似勒索软件攻击的案例。

此次攻击发生在2022年2月，攻击者利用了ADFind、NetScan、SoftPerfect和LaZagne等后期利用工具，还使用了一个AccountRestore可执行文件来暴力破解管理员凭据。Ligolo是伊朗APT组织MuddyWater使用的主要反向隧道工具，攻击者在此次攻击中使用了一个Ligolo工具的变体：Sockbot。

修改后的版本名为Sockbot，Sockbot的修改变体是一个Golang二进制文件，旨在以隐蔽和安全的方式将内部资产从受感染的网络公开到互联网。对恶意软件所做的更改消除了使用命令行参数的需要，并包括了一些执行检查，以避免运行多个实例。

鉴于Ligolo是伊朗民族国家组织MuddyWater选择的主要工具，使用Ligolo fork提高了攻击者使用其他团体使用的工具并加入他们自己的签名的可能性，这可能是为了混淆归属。