新型勒索软件 CACTUS 利用 VPN 漏洞开展攻击活动

The 新型Hacker News 网站披露 ，网络安全研究人员发现一种名为 CACTUS 的勒索利用N漏新型勒索软件正在利用 VPN 设备中的漏洞，对大型商业实体进行网络攻击。软件

Kroll 公司在与 The 洞开动Hacker News 分享的一份报告中表示 CACTUS 一旦进入受害者网络系统，就开始尝试枚举本地帐户 、展攻网络用户帐户以及可访问的击活端点
，创建新用户帐户 ，新型随后利用自定义脚本通过预定任务自动部署和“引爆”勒索软件加密器。勒索利用N漏

CACTUS  善于利用各种工具

自 2023 年 3 月以来，软件安全研究人员多次观察到 CACTUS 勒索软件一直针对大型商业实体 。源码库洞开动此外，展攻网络攻击者采用了双重勒索策略
，击活在加密前窃取敏感数据。新型值得一提的勒索利用N漏是 ，截至目前为止尚未发现任何数据泄露 。软件

CACTUS 恶意软件利用存在漏洞 VPN 设备后
，进入目标系统，设置一个 SSH 后门，以谋求后续能够“长久”入侵 。在完成上述步骤后
，开始执行一系列 PowerShell 命令进行网络扫描，源码下载并确定用于加密的计算机列表 。

此外 ，在 CACTUS 恶意软件攻击过程中，还利用 Cobalt Strike 和 Chisel 隧道工具进行命令和控制，同时也“积极”利用 AnyDesk 等远程监控和管理（RMM）软件向受感染的主机推送文件。安全研究人员还观察到 CACTUS  恶意软件感染过程中禁用和卸载目标系统的安全解决方案，以及从 Web 浏览器和本地安全子系统服务（LSASS）中提取凭证以提升自身权限。

CACTUS 恶意软件权限提升主要通过横向移动、数据渗出和赎金软件部署来实现 ，其中赎金软件是高防服务器通过 PowerShell 脚本实现的（Black Basta 也使用过类似方法）。

Cactus 与其它恶意软件存在明显差异

与其它勒索软件相比，Cactus 的不同之处在于其使用加密来保护勒索软件二进制文件
，Kroll 负责网络风险的副董事总经理 Laurie Iacono 向 The Hacker News 透漏，CACTUS 本质上是对自身进行加密，使其更难检测，并帮助其避开防病毒和网络监控工具。（CACTUS 勒索软件使用批处理脚本提取 7-Zip 的勒索软件二进制文件，建站模板然后在执行有效负载之前删除 .7z 档案。)

Cactus 勒索软件存在三种主要的执行模式，每种模式都使用特定的命令行开关进行选择
：设置(-s) 、读取配置(-r)和加密(-i)。-s和-r参数允许威胁攻击者设置持久化并将数据存储在 C: ProgramData ntuser.dat 文件中，加密器稍后在使用 -r 命令行参数运行时读取该文件。

从研究人员的分析结果来看，CACTUS 勒索软件变体主要通过利用 VPN 设备中的漏洞 ，侵入目标受害者网络  ，云计算这表明部分威胁攻击者一直在对远程访问服务和未修补的漏洞，进行初始入侵
。 几天前 ，趋势科技也发现名为 Rapture 的勒索软件 ，它的整个感染链最多可持续三到五天 。

最后，研究人员强调有理由怀疑
 ，攻击活动是通过易受攻击网站和服务器促进入内部系统的 ，服务器租用因此实体组织必须采取措施保持系统的最新状态，并执行最低特权原则（PoLP）。

参考文章：

https://thehackernews.com/2023/05/new-ransomware-strain-cactus-exploits.html；http://news.sohu.com/a/674128507_469619