网络安全领域出现了一个手法老练的新型勒索软件组织,该组织使用专门构建的跨平台攻击武器,将亚太地区关键基础设施作为攻击目标。这款完全采用Rust编程语言编写的“01flip”勒索软件家族,能够以同等破坏力同时攻击Windows和Linux系统。
攻击活动追踪
Palo Alto Networks旗下Unit 42研究团队以“CL-CRI-1036”为集群标识追踪该攻击活动。虽然攻击行动尚处初期阶段,但该威胁行为体已宣称在菲律宾和中国台湾地区得手。这表明以经济利益为驱动的网络犯罪出现了危险的新动向,其攻击目标更具针对性。
技术特征分析
调查始于2025年6月,研究人员截获了一个行为异常的Windows可执行文件。报告指出,该程序之所以引起注意,不仅因为它是基于Rust编译的二进制文件,更因为在沙箱环境中表现出了勒索软件的典型加密行为。
深入分析揭示了这个多功能威胁的实质:攻击者充分利用了Rust的交叉编译特性,开发出能够无缝攻击Windows与Linux系统环境的恶意软件变种,实现了“一份代码,多平台攻击”的目的。
攻击手法溯源
与自动化、广撒网式的攻击不同,CL-CRI-1036组织更倾向于采用需要人工介入的精准打击方式。攻击者很可能通过手动利用旧漏洞(如CVE-2019-11580)来获取网络的初始立足点。
入侵得逞后,他们部署了广泛使用的开源对抗模拟框架Sliver,用以维持访问权限并在受感染网络内部进行横向移动。研究人员发现,在2025年5月下旬,攻击者通过下载另一个Sliver植入程序,成功实现了从一台主机到另一台Linux主机的横向移动。
潜在关联线索
恶意代码中最耐人寻味的发现,是其中可能暗含与全球最臭名昭著勒索软件团伙的关联线索——当然,这也可能是一种精心布置的误导。01flip加密器包含一个硬编码的文件扩展名排除列表,其中“lockbit”条目在标准系统文件中显得尤为突兀。
报告分析称,避免加密带有“.lockbit”扩展名的文件,可能暗示CL-CRI-1036背后的威胁行为体与LockBit勒索软件团伙存在某种交集。但研究人员仍持谨慎态度,强调除了这段异常代码,目前尚未发现这两个勒索软件家族之间存在其他技术上的直接关联。
现实影响评估
尽管当前已知的受害者数量有限,但其造成的影响不容小觑。该组织已被证实与暗网数据泄露事件有关联,正在兜售从受害机构窃取的信息。研究人员确认,在攻击发生后不久,暗网论坛上就出现了据称来自受害机构的泄露数据。
随着攻击者持续采用Rust等现代编程语言来增强隐蔽性并规避安全检测,防御方正面临不断升级的挑战。这一活动清晰地突显了现代网络安全防御体系在面对使用先进编程语言和框架的攻击者时所面临的严峻考验。 | 
发表于 前天 13:16
|
查看: 3|
回复: 0
