在對 Colonial Pipeline 發起勒索軟件攻擊,引發美國全國性公眾恐慌和天然氣價格暴漲之後,該事件的主導者 DarkSide 宣布投降,並同意為所有勒索軟件目標提供解密器。雖然該集團投降的消息令人振奮,但使用其勒索軟件的不良分子所構成的威脅並沒有消除。
援引 RiskIQ 報道,安全研究人員發現與 UNC2465 有關的一些基礎設施(該組織用來部署 DarkSide 勒索軟件以外的惡意軟件)仍在運行,並可能構成威脅。
安全公司 FireEye 表示,至少有一個黑客聯盟使用釣魚郵件和合法服務來提供 SMOKEDHAM(基於 PowerShell 的.NET 後門)。在 FireEye 報告的一個 LNK 文件,以及 RiskIQ 通過互聯網情報發現的另一個 LNK 文件中,在 PowerShell 腳本中都連接到了相同的兩個 URL。其中一個是 Shopify 的鏈接,另一個 FireEye 並沒有提及。DarkSide 關聯集團對 Shopify 平台的使用並沒有在公開資料中公布。
Shopify 是一個用於在線零售商和零售點系統的電子商務平台,據說已被網絡行為者用於數百次活動中。RiskIQ 的 Shopify 鏈接指向另一個嵌入網站上一些 VBScript 的 URL,FireEye 聲稱該聯盟將其作為 EMPIRE C2 使用。RiskIQ 在這個頁面上發現了一個重定向,指向第二個 Shopify 鏈接,而這個鏈接又指向第三個。
這第三個 Shopify 主機上託管的文件包含 PowerShell 代碼,這就是 FireEye 提到的 SMOKEDHAM.NET 後門。RiskIQs 對該代碼的審查顯示,它能夠執行鍵盤記錄、屏幕截圖和執行任意.NET命令,所有這些都與FireEye對SMOKEDHAM的定義一致。
UNC2465獲得的數據被提交給一個服務器作為用戶代理,使用受害者當前的平台標識符和版本數量。這個主機利用了微軟Azure雲主機的優勢。雖然研究人員發現的主機已不再活躍,但截至5月17日,惡意文件以及C2仍在活躍。
據FireEye稱,UNC2628 組織已經與其他 RaaS 供應商形成聯盟,如Sodinokibi(又名REvil)和Netwalker。RiskIQ在審查FireEye發布的BEACON C2時發現了一個與lagrom.com有關的惡意軟件樣本。根據VirusTotal的檢測,這個樣本是通過Cobalt Strike交付的Sodinokibi勒索軟件。
即使DarkSide RaaS不再運行,一些支持性的基礎設施仍在運行,並可以提供惡意軟件,儘管目前大多數都已經不再活躍。