粉色纸飞机ssr
勒索软件组织 "Vice Society "推出了一款高级PowerShell脚本,用于从被入侵的网络中自动窃取数据。 该组织通常会窃取有价值的企业和客户数据,用于勒索受害者或出售给其他网络犯罪分子牟利。
新的数据外泄程序是完全自动化的,它利用 "离地生存 "的二进制文件和脚本来避免被安全软件检测到,确保其活动在勒索软件攻击的最后阶段之前不被发现。
2023年初,Palo Alto Networks 42部门发现了Vice Society勒索软件团伙使用的一种新的数据窃取工具。 该工具是在一次事件响应中发现的,当时从受害者的网络中恢复了一个名为 "w1.ps1 "的文件。
该脚本利用PowerShell自动执行数据外渗,由多个函数组成,包括Work()、Show()、CreateJobLocal()和fill()。 这些函数协同工作,识别潜在的外泄目录,处理目录组,最后通过HTTP POST请求向Vice Society的服务器外泄数据。
根据42号报告该脚本不需要任何参数,由脚本自己负责识别要从网络中复制的文件。 报告还指出,脚本会忽略大小小于10 KB的文件和没有文件扩展名的文件。
通过使用 "靠天吃饭 "的二进制文件和脚本,安全软件很难检测到脚本的活动,从而确保该团伙的活动在勒索软件攻击的最后阶段之前保持隐蔽性。
Vice Society用于自动数据窃取的新PowerShell脚本有一个主排除和包含列表,以确定要窃取哪些文件。 它排除了常见备份和系统文件夹中的文件,但目标文件夹包含超过433个多语言字符串,包括德语和英语。
由于使用复杂的工具,"邪恶社会 "对全球组织构成了重大威胁,使防御者难以阻止他们的攻击。