The Hacker News 網站披露，網絡安全研究人員發現一種名為 CACTUS 的新型勒索軟件正在利用 VPN 設備中的漏洞，對大型商業實體進行網絡攻擊。

Kroll 公司在與 The Hacker News 分享的一份報告中表示 CACTUS 一旦進入受害者網絡系統，就開始嘗試枚舉本地帳戶、網絡用戶帳戶以及可訪問的端點，創建新用戶帳戶，隨后利用自定義腳本通過預定任務自動部署和“引爆”勒索軟件加密器。

CACTUS  善于利用各種工具

自 2023 年 3 月以來，安全研究人員多次觀察到 CACTUS 勒索軟件一直針對大型商業實體。此外，網絡攻擊者采用了雙重勒索策略，在加密前竊取敏感數據。值得一提的是，截至目前為止尚未發現任何數據泄露。

CACTUS 惡意軟件利用存在漏洞 VPN 設備后，進入目標系統，設置一個 SSH 后門，以謀求后續能夠“長久”入侵。在完成上述步驟后，開始執行一系列 PowerShell 命令進行網絡掃描，并確定用于加密的計算機列表。

此外，在 CACTUS 惡意軟件攻擊過程中，還利用 Cobalt Strike 和 Chisel 隧道工具進行命令和控制，同時也“積極”利用 AnyDesk 等遠程監控和管理（RMM）軟件向受感染的主機推送文件。安全研究人員還觀察到 CACTUS  惡意軟件感染過程中禁用和卸載目標系統的安全解決方案，以及從 Web 瀏覽器和本地安全子系統服務（LSASS）中提取憑證以提升自身權限。

CACTUS 惡意軟件權限提升主要通過橫向移動、數據滲出和贖金軟件部署來實現，其中贖金軟件是通過 PowerShell 腳本實現的（Black Basta 也使用過類似方法）。

Cactus 與其它惡意軟件存在明顯差異

與其它勒索軟件相比，Cactus 的不同之處在于其使用加密來保護勒索軟件二進制文件，Kroll 負責網絡風險的副董事總經理 Laurie Iacono 向 The Hacker News 透漏，CACTUS 本質上是對自身進行加密，使其更難檢測，并幫助其避開防病毒和網絡監控工具。（CACTUS 勒索軟件使用批處理腳本提取 7-Zip 的勒索軟件二進制文件，然后在執行有效負載之前刪除 .7z 檔案。)

Cactus 勒索軟件存在三種主要的執行模式，每種模式都使用特定的命令行開關進行選擇：設置(-s)、讀取配置(-r)和加密(-i)。-s和-r參數允許威脅攻擊者設置持久化并將數據存儲在 C: ProgramData ntuser.dat 文件中，加密器稍后在使用 -r 命令行參數運行時讀取該文件。

從研究人員的分析結果來看，CACTUS 勒索軟件變體主要通過利用 VPN 設備中的漏洞，侵入目標受害者網絡，這表明部分威脅攻擊者一直在對遠程訪問服務和未修補的漏洞，進行初始入侵。 幾天前，趨勢科技也發現名為 Rapture 的勒索軟件，它的整個感染鏈最多可持續三到五天。

最后，研究人員強調有理由懷疑，攻擊活動是通過易受攻擊網站和服務器促進入內部系統的，因此實體組織必須采取措施保持系統的最新狀態，并執行最低特權原則（PoLP）。

參考文章：

• https://thehackernews.com/2023/05/new-ransomware-strain-cactus-exploits.html；
• http://news.sohu.com/a/674128507_469619