加密鬼影：针对俄罗斯多领域的网络攻击

关键要点

• 加密鬼影（Crypto Ghouls）针对俄罗斯的政府、金融、矿业、能源和零售组织发起了网络攻击。
• 使用了LockBit 3.0和Babuk勒索病毒。
• 攻击者通过VPN和承包商账户获取初步访问权限。
• 利用多种工具如XenAllPasswordPro、Mimikatz和CobInt后门进行进一步恶意活动。

近期新兴的网络威胁组织“加密鬼影”（CryptoGhouls）已对俄罗斯的多个领域，包括政府、金融、矿业、能源和零售，实施了网络攻击，主要通过LockBit3.0和Babuk勒索病毒进行干扰。根据的报告，这些攻击针对的系统包括Windows及VMware ESXi/Linux。

这次攻击活动的初步入侵手段涉及加密鬼影利用VPN和承包商的登录凭证，并随后通过利用NSSM和Localtonet获取远程访问权限，依据卡巴斯基的报告显示。加密鬼影之后通过投放XenAllPasswordPro、Mimikatz、MiniDump、PingCastle、PAExec和AnyDesk等工具，以及CobInt后门、dumper.ps1和cmd.exe，进一步进行恶意活动。这些工具曾在其他针对俄罗斯的网络攻击中被观察到，例如、MorLock、SheddingZmiy和Twelve等组织。卡巴斯基的研究人员指出：“对俄罗斯的攻击中使用的共享工具包使得确切识别参与的黑客组织变得困难……这表明当前的攻击者不仅在共享知识，还在共享他们的工具包。这一切使得更难以识别那些对俄罗斯组织发起攻击的具体恶意行为者。”

相关链接

表格概览

通过这些手段，加密鬼影展现了其技术能力和对俄罗斯多领域的威胁，而背景的复杂性更为此次事件增添了许多不确定性。