Varonis 最近幫助了一位客戶，該客戶發現其環境中的一台伺服器 CPU 活動激增，對該設備進行初步檢查後發現，高級威脅行為者正在進行入侵。事件起因是使用者下載並執行了一個文件，使用者誤以為這是合法的瀏覽器更新程式，但實際上，這是一個惡意 JavaScript 程式碼。下載操作啟動了一系列自動偵察和初始命令與控制活動，包括枚舉 Active Directory 用戶和電腦、查詢關鍵本地系統資訊、在記憶體中搜尋憑證以及各種其他發現技術。
幾分鐘內，第二階段惡意軟體被部署為一個週期性規劃任務以實現持久化。隨後，一個合法的 Python 發行版被下載到 %LOCALAPPDATA%ConnectedDevicesPlatform 目錄，同時下載的還有一個加密的 Python 腳本，該腳本充當攻擊者基礎設施的 SOCKS 代理，將企業網路直接暴露在互聯網上。最終的有效載荷是一個 SOCKS 代理，旨在利用被入侵的主機作為傳輸樞紐，促進攻擊者端點與內部網路基礎設施之間的通訊。在最初入侵發生後大約 24 小時內，攻擊者成功獲得了網域管理員權限，在整個環境中部署了多個持久化機制，列舉了幾乎整個 Active Directory，並進行了廣泛的網路和檔案發現。威脅對取得的進展感到滿意後，部署了 AzCopy，這是一個 Microsoft Azure 儲存帳戶互動實用程式。如下所示，威脅利用該實用程式實現了對幾個目標目錄的大規模資料竊取。
資料外洩活動導致CPU使用率最初出現峰值，引起了客戶的注意。隨後，我們的團隊識別出威脅的持久化機制和相關入侵指標（IOC），並與客戶聯合組織了一次網路封鎖，以確保所有惡意存取同時被切斷。如果再晚幾個小時被發現，勒索軟體很可能已經擴散到客戶環境中。

這次事件的攻擊者經分析被確認為RansomHub勒索軟體組織的附屬團體，他們利用SocGholish惡意軟體進行初始存取活動。SOCKS代理的加密腳本具備高度複雜的隱蔽性，採用了十層多階段加密的解包程序，每層都設計有隨機變量名，並嘗試實施基礎的反分析技術，包括虛擬機檢測、除錯檢測和程序追蹤檢測，大幅增加了安全人員分析的難度。攻擊者僅在初始入侵發生後約四小時內便控制了網域管理員帳戶。我們的鑑識團隊雖然無法精確鎖定提權方式，但在對客戶的Active Directory環境進行稽核時，發現了AD憑證服務中存在配置錯誤（ESC1漏洞），這使得一般使用者極易將權限提升至網域管理員等級。攻擊者可能利用此配置錯誤，實現了從普通用戶到高權限管理員的快速跳轉。取得高權限後，威脅行為者開始在整個網路中展開地毯式偵察。他們不僅使用常規的Ping、Nltest、Net等工具，還採取了一種出乎意料的獨特手段：利用已安裝的Microsoft Office應用程式，如Word、Visio和Excel，開啟關於客戶內部架構、網路和伺服器環境的特定敏感文件，這類數據通常會被離線處理，但攻擊者直接在受害伺服器上開啟，顯示出其行動的高度針對性與目標性。此外，攻擊者還透過修改 $env:APPDATA\Microsoft\Signatures 中的所有電子郵件簽名，嵌入惡意圖像引用，企圖在脆弱客戶端上強制執行NTLM身份驗證，以進行額外的憑證竊取。這些精密的戰術、技術與程序（TTPs）突顯了現代網路威脅的進化。幸運的是，Varonis的及時介入服務成功地在零業務停機的情況下徹底清除了威脅。這次事件強烈表明，企業必須將資料存取監控視為關鍵的安全環節，並在偵測到威脅時必須儘速行動，否則後果不堪設想。

資料來源：https://www.bleepingcomputer.com/news/security/how-a-cpu-spike-led-to-uncovering-a-ransomhub-ransomware-attack/