已知基於Windows的勒索軟體IceFire已將其重點擴展到針對Linux企業網路。操作IceFire的駭客組織現在使用其新的專用加密器積極瞄準全球 Linux 系統。根據 SentinelOne最新的研究,IceFire勒索軟體通過利用 IBM Aspera Faspex 中的一個已知漏洞CVE-2022-47986來攻擊 Linux 伺服器。在3/9 (周四)的一篇網誌中,資安公司SentinelOne 的Alex Delamotte詳細介紹了SentinelLabs 從 2月中旬開始觀察到針對企業的攻擊活動,IceFire勒索軟體一年前出現在勒索軟體領域,在2022年 9 月 IceFire 被NCC Group列為最活躍的威脅組織名單中列前三名。
現在,除了 Windows 系統之外,IceFire 的活動已經擴展到針對 Linux 伺服器。與許多勒索軟體組織一樣,IceFire 似乎正在利用一個在某些企業環境中仍未修補的已知漏洞。SentinelOne 觀察到這些針對全球多個媒體和娛樂組織的攻擊,而且大多數威脅檢測工具似乎無法有效捕獲新的 Linux 版本。SentinelOne 的網誌警告說,IceFire二進製檔案沒有被檢測引擎VirusTotal檢測到。針對 Linux 的勒索軟體二進製檔案是一個 2.18 MB 的 64 位 ELF 檔案,它安裝在運行易受攻擊版本的 IBM Aspera Faspex 檔案伺服器軟體的 CentOS 主機上。它還能夠避免加密某些路徑,以便受感染的機器繼續運行。研究員Delamotte指出,目前的觀察表明,攻擊者利用 CVE-2022-47986 部署了勒索軟體,CVE-2022-47986 是 IBM Aspera Faspex 檔案共享軟體中的一個反序列化漏洞。
IBM 在本週更新的安全公告中詳細介紹了該漏洞,該漏洞已於 1 月份修補好。雖然 CVE-2022-47986 最初獲得的CVSS評分為 8.1,但它在 2 月 17 日更新為 9.8(滿分 10 分)。如果被利用,該漏洞可允許遠端攻擊者在系統上執行任程式碼。
另外,CISA 於 2 月 21 日將該漏洞添加到其已知的其已知濫用資安漏洞(Known Exploited Vulnerabilities)清單中,並下令聯邦機構在必須在 3 月 14 日之前完成修補。該漏洞於 2023 年 2 月 17 日正式發布
然而,IceFire 攻擊始於 2 月中旬。Delamotte表示,與 Windows 相比Linux 更難部署勒索軟體——尤其是大規模部署。許多 Linux 系統都是伺服器:典型的感染媒介,如網路釣魚或路過式下載(Drive by download),效果較差。為了克服這個問題,駭客轉向利用應用程式漏洞,正如 IceFire 的背後駭客員通過 IBM Aspera 漏洞部署有效載荷所展示的那樣。一旦駭客獲得存取權限,IceFire 勒索存取就會針對用戶和共享目錄進行加密。由於這些是檔案系統未受保護的部分,Delamotte 指出它們不需要提升權限即可寫入或修改。Delamotte 進一步說,檔案共享接收持續的連接——尤其是來自組織互聯網之外的系統——這使它們成為勒索軟體攻擊者非常吸引的目標。IceFire 勒索軟體在之前只專注於攻擊 Windows 系統之後擴大了 Linux 目標,這是一個戰略轉變,與近年來也開始攻擊 Linux 系統的其他勒索軟體組織手法一致。
IceFire勒索軟體的部分入侵指標(Indicator of compromise -IOCs):
SHA-1: b676c38d5c309b64ab98c2cd82044891134a9973