安全研究人員發現，在部署有效載荷之前，一家受到LockBit勒索軟件攻擊的美國地區政府機構被該勒索軟件團伙潛藏在其網絡中至少5個月。從受感染機器中檢索到的日志顯示，有兩個威脅組織已經對它們進行了入侵，并進行了偵察和遠程訪問操作。雖然攻擊者試圖通過刪除事件日志來刪除他們的蹤跡，但威脅分析人員仍舊從文件片段里發現了攻擊者的入侵痕跡。

事件起因是該機構的一名技術人員在禁用了系統的保護功能后才導致攻擊者入侵。據網絡安全公司Sophos的研究人員稱，攻擊者通過配置錯誤的防火墻上的開放遠程桌面 (RDP)端口訪問網絡，然后使用Chrome下載攻擊所需的工具。該工具包包括用于暴力破解、掃描、商業VPN的實用程序，以及允許文件管理和命令執行的免費工具，例如PsExec、FileZilla、Process Explorer和GMER。此外，黑客還使用了遠程桌面和遠程管理軟件，例如ScreenConnect，以及后來在攻擊中使用的AnyDesk。

在攻擊的第一階段中，攻擊者行為低調，只是竊取一些有價值的帳戶憑據，以便后續可以竊取更多的重要資料。之后的某個時間，他們竊取了同樣擁有域管理員權限的本地服務器管理員的憑據，因此他們可以在其他系統上創建具有管理員權限的新帳戶。

到了攻擊的第二階段里，在潛藏五個月后，一些更老練的攻擊者開始接管，Sophos認為應該是一個更高級別的攻擊者在負責此次行動了。新階段從安裝Mimikatz和LaZagne等Post Exploitation工具開始，用于從受感染的服務器中提取憑據包。同時，攻擊者通過擦除日志和通過遠程命令執行系統重新啟動來使他們的存在更加明顯，并且還通過使60臺服務器脫機并分割網絡來警告管理員。

而在這期間犯的第二個錯誤就是禁用了端點安全，至此雙方就展開了公開對抗的措施和對策。Sophos在其發表的報告中表示，在攻擊發生的第一天，這些威脅行為者就采取了重大行動，他們運行的Advanced IP Scanner幾乎橫向移動到多個敏感服務器。短短的幾分鐘內，攻擊者就可以訪問大量敏感人員并購買文件。雖然Sophos加入了響應工作并關閉了為攻擊者提供遠程訪問的服務器，但部分網絡已經被LockBit進行了加密。不過在一些機器上，雖然文件已用LockBit的后綴重命名，但并未進行加密，因此恢復它們只是將重命名操作顛倒過來。

研究人員表示，實施多因素身份驗證 (MFA) 保護會導致不同的結果，因為它會阻止黑客自由移動或至少顯著阻礙他們在受感染網絡上的行動。另一個可能阻擋威脅參與者的關鍵安全功能是阻止遠程訪問RDP端口的防火墻規則。最后，這個案例強調了維護和事件響應錯誤的問題，以及即使在緊急情況下也需要遵循安全檢查表。

參考來源：https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-lurked-in-a-us-gov-network-for-months/