RansomHub 关联者使用新型 Python 后门进行网络持久性攻击

重点摘要

• 疑似 RansomHub 关联者利用新型 Python 后门实现对受害者网络的持久性控制。
• 该后门代码显示出潜在的 AI 辅助编码迹象。
• 攻击者通过远程桌面协议 (RDP) 在受害者网络中横向传播。
• 相较于前一版本，该后门软件进行了多项改进，例如使用 Pyobfuscate 工具进行混淆。

根据 GuidePoint Security 去年晚些时候记录的事件，一名疑似的 RansomHub 关联者使用了一种新型的 Python后门在受害者的网络上建立了持久性。研究人员在周三发布的 GuidePoint Security GRIT
中提到，这段 Python 后门代码显示出潜在的 AI辅助编码迹象。该恶意软件通过使用远程桌面协议（RDP）会话在受害者网络中横向传播，最初访问是通过下载疑似的 SocGholish 恶意软件实现的。

GuidePoint 指出， SocGholish 感染与该后门早期版本之间的联系。在 GuidePoint观察的事件中，此攻击链以在整个网络中部署 RansomHub 加密器作为结束。

研究人员发现，该后门恶意软件自从 ReliaQuest 在 2024 年 2 月首次发现以来经历了一些变化，包括使用 Pyobfuscate工具进行混淆、使用 RDP 进行网络横向感染，以及攻击者所使用的新 C2 地址。

GuidePoint 识别出与该后门的 C2 基础设施相关的十八个 IP 地址，这些地址在博客发布时仍然活跃。研究人员表示，他们将继续记录与该后门相关的
IP 地址，通过 进行更新。

在初始访问后，攻击者在大约 20 分钟内在第一台受害者机器上投放 Python后门，采取五个步骤感染机器并建立持久性。首先，攻击者移动到目标文件夹“connecteddevicesplatform”，然后安装 Python 并设置
pip 包管理器以安装恶意软件所需的 Python 库。

接下来，攻击者创建了一个 Python 代理脚本，最后利用 Windows 计划任务来建立持久性。该 Python 脚本充当反向代理，并使用重度基于
SOCKS5 协议的隧道，尽管该协议并未完全实现。

研究人员指出，经过解混淆的 Python 代码显示出 AI 辅助的迹象，包括过于描述性的方法名称和变量、冗长的调试消息，以及针对不支持的地址类型和未实现的
SOCKS5 协议部分的详细日志记录。

该后门通过 TCP 连接连接到硬编码的 IP 地址，并建立 SOCKS5类似的隧道，以利用受感染的受害者机器作为代理在受害者网络中横向移动。研究人员表示，这种恶意软件仅支持 TCP 隧道流量，并不支持 IPv6 地址。

2024 年 9 月在 VirusTotal 上传的类似版本恶意软件显示未被任何杀毒服务检测到，体现了它在建立持久性时能够逃避检测的能力。

据 ESET 报告，RansomHub 是 2024 年下半年最活跃的勒索软件服务组织，自年初以来已针对近 500 个受害者进行攻击。RansomHub关联者采用多种方法感染受害者以逃避检测并在网络中传播，包括使用 、利用未修补的漏洞，以及使用远程桌面协议、PsExec、Anydesk、Connectwise和其他合法服务， 。

使用生成型 AI 辅助恶意软件代码编写和编辑的趋势日益显著，已发现的 AI 使用特征