LeakNet勒索軟件利用ClickFix社工技術和Deno內存加載器實施攻擊

名為LeakNet的勒索軟件團伙已采用通過受損網站傳播的ClickFix社會工程學策略作為初始訪問方法。

ClickFix技術會誘騙用戶手動運行惡意命令來解決不存在的錯誤，這種方法與依賴傳統初始訪問方式（如通過初始訪問代理商獲取的被盜憑據）有所不同。據ReliaQuest今日發布的技術報告顯示，這標志著該團伙策略的重大轉變。

這些攻擊的第二個重要特點是使用基于Deno JavaScript運行時構建的分階段命令控制加載器，直接在內存中執行惡意載荷。

"這里的關鍵要點是，無論通過哪種入侵路徑，都會導致相同的可重復后利用序列，"該網絡安全公司表示。"這為防御者提供了具體的工作基礎：在每個階段都能檢測和阻斷的已知行為，遠早于勒索軟件部署之前，無論LeakNet如何入侵。"

LeakNet首次出現于2024年11月，自稱為"數字看門狗"，聲稱其活動專注于互聯網自由和透明度。根據Dragos捕獲的數據，該團伙還針對工業實體進行攻擊。

使用ClickFix突破受害者具有多項優勢，最重要的是減少對第三方供應商的依賴，降低單個受害者的獲取成本，并消除等待有價值賬戶出現在市場上的運營瓶頸。

在這些攻擊中，被入侵但本身合法的網站被用來提供虛假的CAPTCHA驗證檢查，指示用戶復制并粘貼"msiexec.exe"命令到Windows運行對話框。這些攻擊并不局限于特定行業垂直領域，而是廣撒網盡可能感染更多受害者。

隨著更多威脅行為者采用ClickFix手冊，這一趨勢正在發展。該技術濫用用戶信任的日常工作流程，誘使用戶通過合法的Windows工具運行惡意命令，讓操作感覺例行且安全。

"LeakNet采用ClickFix標志著該團伙初始訪問能力的首次記錄在案的擴展，以及一次有意義的戰略轉變，"ReliaQuest表示。

"通過擺脫初始訪問代理商，LeakNet消除了自然限制其運營速度和廣度的依賴性。由于ClickFix通過合法但已被入侵的網站傳播，它在網絡層不會呈現與攻擊者擁有的基礎設施相同的明顯信號。"

除了使用ClickFix啟動攻擊鏈外，據評估LeakNet還使用基于Deno的加載器直接在內存中執行Base64編碼的JavaScript，以最大限度地減少磁盤證據并規避檢測。該載荷旨在對受損系統進行指紋識別，聯系外部服務器獲取下一階段惡意軟件，并進入輪詢循環，通過Deno重復獲取和執行額外代碼。

另外，ReliaQuest表示還觀察到一次入侵嘗試，威脅行為者使用基于Microsoft Teams的釣魚來社會工程學方式誘使用戶啟動以類似基于Deno的加載器結束的載荷鏈。雖然該活動仍未歸屬，但使用自帶運行時方法要么表明LeakNet初始訪問向量的擴大，要么表明其他威脅行為者已采用該技術。

LeakNet的后入侵活動遵循一致的方法論：首先使用DLL側加載啟動通過加載器傳遞的惡意DLL，然后使用PsExec進行橫向移動、數據泄露和加密。

"LeakNet運行cmd.exe /c klist，這是一個內置的Windows命令，顯示受損系統上的活動身份驗證憑據。這告訴攻擊者哪些賬戶和服務已經可達，無需請求新憑據，因此他們可以更快更有針對性地移動，"ReliaQuest表示。

"對于暫存和泄露，LeakNet使用S3存儲桶，利用正常云流量的外觀來減少其檢測足跡。"

這一發展伴隨著Google披露，Qilin（又名Agenda）、Akira（又名RedBike）、Cl0p、Play、SafePay、INC Ransom、Lynx、RansomHub、DragonForce（又名FireFlame和FuryStorm）以及Sinobi成為在其數據泄露站點聲稱受害者最多的前10大勒索軟件品牌。

"在三分之一的事件中，初始訪問向量是確認或疑似利用漏洞，最常見的是普通VPN和防火墻中的漏洞，"Google威脅情報組表示，并補充說77%的分析勒索軟件入侵包括疑似數據盜竊，比2024年的57%有所增加。

"盡管行為者沖突和干擾造成持續動蕩，勒索軟件行為者仍保持高度積極性，勒索生態系統展現出持續的韌性。幾個指標表明這些操作的整體盈利能力正在下降，至少一些威脅行為者正在將其目標策略從大公司轉向專注于對較小組織的大容量攻擊。"

Q&A

Q1：ClickFix社會工程學技術是如何工作的？

A：ClickFix技術通過受損但合法的網站提供虛假CAPTCHA驗證檢查，誘騙用戶復制并粘貼惡意的"msiexec.exe"命令到Windows運行對話框。這種方法讓用戶誤以為在執行正常的驗證操作，實際上卻在運行惡意代碼。

Q2：LeakNet勒索軟件為什么要使用Deno JavaScript運行時？

A：LeakNet使用基于Deno的加載器是為了直接在內存中執行Base64編碼的JavaScript，這樣可以最大限度地減少磁盤上的證據，規避傳統的文件檢測方法，提高攻擊的隱蔽性。

Q3：LeakNet勒索軟件的攻擊流程是什么？

A：LeakNet的攻擊遵循一致的方法論：首先通過ClickFix或釣魚獲得初始訪問，然后使用DLL側加載啟動惡意載荷，接著通過PsExec進行橫向移動，最后實施數據泄露和加密。整個過程還會利用S3存儲桶來減少檢測足跡。