新興的跨平臺BianLian勒索軟體攻擊正在提速

新興跨平臺BianLian勒索軟體的運營商本月增加了他們的命令和控制（C2）基礎設施，這一發展暗示著該組織的運營節奏正在提速。

使用Go程式語言編寫的BianLian勒索軟體於2022年7月中旬首次被發現，截至9月1日已聲稱有15個受害組織。

值得注意的是，這一新興的雙重勒索勒索軟體家族與同名的Android銀行木馬沒有聯絡，後者主要針對移動銀行和加密貨幣應用程式竊取敏感資訊。

安全研究人員Ben Armstrong、Lauren Pearce、Brad Pittack和Danny Quist介紹稱，

“該勒索軟體對受害者網路的初始訪問是透過成功利用ProxyShell Microsoft Exchange Server漏洞實現的，利用它來刪除web shell或ngrok有效負載以進行後續活動。BianLian還將SonicWall VPN裝置作為攻擊目標，這是勒索軟體組織的另一個常見目標。”

與另一個名為“Agenda”的新Golang惡意軟體不同，BianLian攻擊者從初始訪問到實施加密的停留時間最長可達6周，這一持續時間遠高於2021年報告的15天入侵者停留時間的中值。

除了利用離地攻擊（living-off-the-land，LotL）技術進行網路分析和橫向移動外，該組織還部署定製植入物作為維持對網路的持久訪問的替代手段。

據研究人員介紹，後門的主要目標是從遠端伺服器檢索任意有效負載，將其載入到記憶體中，然後執行它們。

BianLian與Agenda類似，能夠在Windows安全模式下啟動伺服器以執行其對檔案加密惡意軟體，同時不被系統上安裝的安全解決方案檢測到。

為消除安全障礙而採取的其他步驟包括刪除卷影副本、清除備份以及透過Windows遠端管理（WinRM）和PowerShell指令碼執行其Golang加密器模組。

據報道，已知最早的與BianLian相關的C2伺服器於2021年12月出現在網路上。但此後，該C2基礎設施經歷了“令人不安的擴張”，現已超過30個活躍IP地址。

網路安全公司Cyble在本月早些時候詳細介紹了該勒索軟體的作案手法，據Cyble稱，該勒索軟體的目標組織跨越多個行業，如媒體、銀行、能源、製造、教育、醫療保健和專業服務等。而且大多陣列織位於北美、英國和澳大利亞。

BianLian是網路犯罪分子繼續使用跳躍戰術（hopping tactics）以避免被發現的又一跡象。它還增加了使用Go作為基礎語言的越來越多的威脅，使攻擊者能夠在單個程式碼庫中進行快速更改，然後可以針對多個平臺進行編譯。

研究人員補充道，BianLian已經證明自身擅長使用離地攻擊（LOtL）方法來橫向移動，並根據他們在網路中遇到的防禦能力來調整操作。