NCC Group 的研究人員透露，在過去幾個月中，攻擊者越來越多地攻陷企業(yè)網(wǎng)絡以竊取數(shù)據(jù)和勒索受害者，但并未中斷他們的運營。被稱為SnapMC 的黑客組織試圖利用網(wǎng)絡服務器和VPN應用程序中的多個漏洞進行初始突破，通常會在30分鐘內攻入受害者網(wǎng)絡。

　　該組織隨后會竊取受害者數(shù)據(jù)以利用它進行勒索，但不會使用勒索軟件或其他方式來破壞受害者的運營。也就是說，這個SnapMC 的新參與者出現(xiàn)在網(wǎng)絡犯罪領域，實施的是典型數(shù)據(jù)竊取勒索，它不執(zhí)行文件加密部分。文件加密被認為是勒索軟件攻擊的核心組成部分，因為它正是給受害者帶來操作中斷的元素。

　　SnapMC 威脅要在網(wǎng)上發(fā)布被盜數(shù)據(jù)，除非支付贖金，向受害者提供被盜數(shù)據(jù)列表作為網(wǎng)絡失陷的證據(jù)，甚至威脅要進行下一步動作。

　　攻擊者掃描網(wǎng)絡服務器應用程序和VPN中的多個漏洞，使其能夠訪問目標環(huán)境。NCC Group 觀察到該組織利用Telerik UI for ASPX.NET 中的遠程代碼執(zhí)行缺陷以及SQL 注入錯誤。

　　注：Telerik UI的ASP.NET AJAX是web應用程序中廣泛使用的一套UI組件。它存在不安全的JSON對象反序列化，導致在軟件的底層主機上任意遠程執(zhí)行代碼。

　　在初始入侵成功之后，攻擊者執(zhí)行有效載荷以安裝用于遠程訪問的反向 shell。觀察到的有效載荷表明SnapMC 正在使用針對Telerik 的公開可用的概念驗證（POC）漏洞。

　　威脅行為者還使用 PowerShell 腳本進行偵察，并在一種情況下嘗試提升權限。他們還部署了各種用于數(shù)據(jù)收集和滲漏的工具。

　　NCC集團的威脅情報團隊預測，數(shù)據(jù)泄露勒索攻擊將隨著時間的推移而增加，因為與全面的勒索軟件攻擊相比，它需要更少的時間，甚至更少的技術深度知識或技能。在勒索軟件攻擊中，對手需要在竊取數(shù)據(jù)和部署勒索軟件之前實現(xiàn)隱蔽潛伏并成為域管理員。而在數(shù)據(jù)泄露勒索攻擊中，大多數(shù)活動甚至可以是自動化的，花費更少的時間，但仍有重大影響。因此，確保您能夠檢測到此類攻擊，并擁有隨時可在短時間內執(zhí)行的事件響應計劃，這對于高效、有效地減輕SnapMC對您的組織構成的威脅至關重要。

　　因此，NCC公司建議采取如下緩解措施，以積極應對此類攻擊。

　　首先，攻擊者的初始入侵突破通常是通過已知的漏洞實現(xiàn)的，這些漏洞存在補丁。及時打補丁和保持（互聯(lián)網(wǎng)連接）設備的更新是防止成為這些類型攻擊的受害者的最有效的方法。通過（定期執(zhí)行）漏洞掃描，確保識別出駐留在您的網(wǎng)絡中易受攻擊的軟件。

　　此外，考慮到提供軟件包的第三方也可能使用易受攻擊的軟件組件，您無法直接訪問該漏洞。因此，在您的組織和軟件供應商之間有一個明確的相互理解和明確定義的關于補丁管理和保留政策的協(xié)議是很重要的。后者也適用于一種可能的義務，即讓你的供應商為你提供系統(tǒng)，以便在發(fā)生事故時進行取證和根本原因分析。

　　值得一提的是，當參考測試特定版本的Telerik的可利用性時，很明顯，當軟件組件位于配置良好的Web應用程序防火墻（WAF）后面時，利用是不成功的。

　　最后，正確地實現(xiàn)檢測和事件響應機制和流程可以極大地增加成功減輕對組織的嚴重影響的機會。及時的發(fā)現(xiàn)和有效的反應將減少甚至在它成為現(xiàn)實之前的損害。

　　參考資源

　　1、https://research.nccgroup.com/2021/10/11/snapmc-skips-ransomware-steals-data/

　　2、https://www.securityweek.com/extortionist-hacker-group-snapmc-breaches-networks-under-30-minutes

　　3、