僵尸网络在LockBit Black勒索软件活动中发送数百万电子邮件

自四月以来，数百万封网络钓鱼邮件通过Phorpiex僵尸网络发送，进行了大规模的LockBit Black勒索软件活动。

新泽西州网络安全和通信集成中心（NJCCIC）在近日警告称，攻击者使用包含可执行文件的ZIP附件来部署LockBit Black有效载荷，一旦被启动，这些文件将加密收件人的系统。

这些攻击中LockBit Black加密器可能是使用LockBit 3.0生成器构建的，该生成器由一位不满的开发者于2022年9月在推特上泄露。然而，这次活动被认为与实际的LockBit勒索软件操作没有任何关联。

这些带有“你的文件”和“你的照片”等主题的网络钓鱼邮件，用“Jenny Brown”或“Jenny Green”的别名从全球1500多个独立IP地址发送出去，地址包括哈萨克斯坦、乌兹别克斯坦、伊朗、俄罗斯和中国。

攻击链始于收件人打开恶意的ZIP压缩附件并执行其中的二进制文件。接着，此可执行文件从Phorphiex僵尸网络的基础设施下载LockBit Black勒索软件样本并在受害者系统上执行。启动后，它将尝试窃取敏感数据、终止服务并加密文件。

自4月24日以来一直调查这些攻击事件的网络安全公司Proofpoint在周一表示，黑客针对全球各个行业的公司进行攻击。

尽管这种方法并不新鲜且缺乏其他网络攻击的复杂性，但发送大量邮件来传送恶意负载，并将勒索软件作为第一阶段负载使用，让这种方法在众多网络攻击中脱颖而出。

Proofpoint的安全研究人员表示：“2024年4月24日后约一周时间，Proofpoint观察到由Phorpiex僵尸网络促成的大规模活动，该网络每天发送数百万封信息来传送LockBit Black勒索软件。”

“这是Proofpoint研究人员首次观察到通过Phorphiex以如此高的效率传送LockBit Black勒索软件（又名LockBit 3.0）的样本。”

Phorpiex僵尸网络（也称为Trik）已经活跃了十多年。它从通过可移动USB存储设备和Skype或Windows Live Messenger聊天传播的蠕虫，演变为使用电子邮件垃圾邮件传送的由IRC控制的木马。

经过多年的活动和发展，Phorpiex僵尸网络逐渐壮大，控制了超过100万台感染设备。然而，其运营者在关闭Phorpiex基础设施后，尝试在黑客论坛上出售该恶意软件的源代码。

Phorpiex僵尸网络还被用来发送数百万封色情勒索邮件（每小时发送超过30,000封邮件），最近还使用了剪贴板劫持模块，将复制到Windows剪贴板的加密货币钱包地址替换为攻击者控制的地址。

在添加加密货币剪贴板劫持功能的一年内，Phorpiex的运营者劫持了969笔交易，盗取了3.64比特币（价值172,300美元）、55.87以太币（价值216,000美元）和价值55,000美元的ERC20代币。

为了防御推送勒索软件的网络钓鱼攻击，NJCCIC建议实施勒索软件风险缓解策略，并使用终端安全解决方案和电子邮件过滤解决方案（如垃圾邮件过滤器）来阻止潜在的恶意消息传播。