【安全资讯】Elpaco勒索软件:新威胁利用CVE-2020-1472进行全球攻击
概要:
Kaspersky Labs近日揭示了一种名为Elpaco的新型勒索软件变种,作为Mimic勒索软件家族的进化版本,Elpaco展现出多种定制化特性,全球范围内针对受害者展开攻击。该恶意软件利用已知漏洞并借助合法软件工具,悄然执行其操作,成为网络安全领域的新威胁。主要内容:
Elpaco勒索软件通过被攻陷的远程桌面协议(RDP)连接入侵系统,通常通过暴力破解实现。一旦进入,攻击者利用臭名昭著的CVE-2020-1472漏洞(即Zerologon)提升权限,从而完全控制受害者的服务器,为勒索软件的部署铺平道路。Elpaco的一个显著特点是其与Everything库的集成,这是一种合法的文件搜索引擎,旨在简化恶意活动。该勒索软件的功能包括:可定制的图形用户界面(GUI),允许操作员配置勒索软件的行为,如修改赎金说明、选择加密文件和目录,以及排除特定格式。Elpaco使用ChaCha20流密码进行文件加密,并通过RSA-4096进一步保护密钥,使得没有私钥几乎无法解密。为了隐蔽和规避检测,Elpaco在加密后自我删除,利用fsutil命令安全擦除痕迹,确保在取证分析中尽量减少被发现的可能性。
Elpaco的传播方式为密码保护的压缩档案,包含多个组件,如用于禁用Windows Defender的Defender Control Tool(DC.exe)和伪装成合法进程的主可执行文件svhostss.exe。该勒索软件已与包括美国、俄罗斯、德国和韩国在内的多个国家的攻击相关联,其影响范围扩展至加拿大、罗马尼亚和英国。Kaspersky的研究人员强调了Elpaco的适应性及其潜在威胁,指出其用户界面为操作员提供了高度的灵活性,使其在网络攻击者中极具吸引力。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享