LeakNet勒索软件利用ClickFix社工技术和Deno内存加载器实施攻击

名为LeakNet的勒索软件团伙已采用通过受损网站传播的ClickFix社会工程学策略作为初始访问方法。

ClickFix技术会诱骗用户手动运行恶意命令来解决不存在的错误，这种方法与依赖传统初始访问方式（如通过初始访问代理商获取的被盗凭据）有所不同。据ReliaQuest今日发布的技术报告显示，这标志着该团伙策略的重大转变。

这些攻击的第二个重要特点是使用基于Deno JavaScript运行时构建的分阶段命令控制加载器，直接在内存中执行恶意载荷。

"这里的关键要点是，无论通过哪种入侵路径，都会导致相同的可重复后利用序列，"该网络安全公司表示。"这为防御者提供了具体的工作基础：在每个阶段都能检测和阻断的已知行为，远早于勒索软件部署之前，无论LeakNet如何入侵。"

LeakNet首次出现于2024年11月，自称为"数字看门狗"，声称其活动专注于互联网自由和透明度。根据Dragos捕获的数据，该团伙还针对工业实体进行攻击。

使用ClickFix突破受害者具有多项优势，最重要的是减少对第三方供应商的依赖，降低单个受害者的获取成本，并消除等待有价值账户出现在市场上的运营瓶颈。

在这些攻击中，被入侵但本身合法的网站被用来提供虚假的CAPTCHA验证检查，指示用户复制并粘贴"msiexec.exe"命令到Windows运行对话框。这些攻击并不局限于特定行业垂直领域，而是广撒网尽可能感染更多受害者。

随着更多威胁行为者采用ClickFix手册，这一趋势正在发展。该技术滥用用户信任的日常工作流程，诱使用户通过合法的Windows工具运行恶意命令，让操作感觉例行且安全。

"LeakNet采用ClickFix标志着该团伙初始访问能力的首次记录在案的扩展，以及一次有意义的战略转变，"ReliaQuest表示。

"通过摆脱初始访问代理商，LeakNet消除了自然限制其运营速度和广度的依赖性。由于ClickFix通过合法但已被入侵的网站传播，它在网络层不会呈现与攻击者拥有的基础设施相同的明显信号。"

除了使用ClickFix启动攻击链外，据评估LeakNet还使用基于Deno的加载器直接在内存中执行Base64编码的JavaScript，以最大限度地减少磁盘证据并规避检测。该载荷旨在对受损系统进行指纹识别，联系外部服务器获取下一阶段恶意软件，并进入轮询循环，通过Deno重复获取和执行额外代码。

另外，ReliaQuest表示还观察到一次入侵尝试，威胁行为者使用基于Microsoft Teams的钓鱼来社会工程学方式诱使用户启动以类似基于Deno的加载器结束的载荷链。虽然该活动仍未归属，但使用自带运行时方法要么表明LeakNet初始访问向量的扩大，要么表明其他威胁行为者已采用该技术。

LeakNet的后入侵活动遵循一致的方法论：首先使用DLL侧加载启动通过加载器传递的恶意DLL，然后使用PsExec进行横向移动、数据泄露和加密。

"LeakNet运行cmd.exe /c klist，这是一个内置的Windows命令，显示受损系统上的活动身份验证凭据。这告诉攻击者哪些账户和服务已经可达，无需请求新凭据，因此他们可以更快更有针对性地移动，"ReliaQuest表示。

"对于暂存和泄露，LeakNet使用S3存储桶，利用正常云流量的外观来减少其检测足迹。"

这一发展伴随着Google披露，Qilin（又名Agenda）、Akira（又名RedBike）、Cl0p、Play、SafePay、INC Ransom、Lynx、RansomHub、DragonForce（又名FireFlame和FuryStorm）以及Sinobi成为在其数据泄露站点声称受害者最多的前10大勒索软件品牌。

"在三分之一的事件中，初始访问向量是确认或疑似利用漏洞，最常见的是普通VPN和防火墙中的漏洞，"Google威胁情报组表示，并补充说77%的分析勒索软件入侵包括疑似数据盗窃，比2024年的57%有所增加。

"尽管行为者冲突和干扰造成持续动荡，勒索软件行为者仍保持高度积极性，勒索生态系统展现出持续的韧性。几个指标表明这些操作的整体盈利能力正在下降，至少一些威胁行为者正在将其目标策略从大公司转向专注于对较小组织的大容量攻击。"

Q&A

Q1：ClickFix社会工程学技术是如何工作的？

A：ClickFix技术通过受损但合法的网站提供虚假CAPTCHA验证检查，诱骗用户复制并粘贴恶意的"msiexec.exe"命令到Windows运行对话框。这种方法让用户误以为在执行正常的验证操作，实际上却在运行恶意代码。

Q2：LeakNet勒索软件为什么要使用Deno JavaScript运行时？

A：LeakNet使用基于Deno的加载器是为了直接在内存中执行Base64编码的JavaScript，这样可以最大限度地减少磁盘上的证据，规避传统的文件检测方法，提高攻击的隐蔽性。

Q3：LeakNet勒索软件的攻击流程是什么？

A：LeakNet的攻击遵循一致的方法论：首先通过ClickFix或钓鱼获得初始访问，然后使用DLL侧加载启动恶意载荷，接着通过PsExec进行横向移动，最后实施数据泄露和加密。整个过程还会利用S3存储桶来减少检测足迹。