返回
快讯

Ransomware团伙利用Citrix Bleed 2与BYOVD

与 Anubis、The Gentlemen、VECT 和 TeamPCP 相关的勒索软件活动被观察到利用 CVE-2025-5777、有效 VPN 凭证、BYOVD 以及供应链凭证入侵目标。建议优先修补 Citrix NetScaler ADC 和 Gateway,排查 RMM、RDP、PsExec、Cloudflare Tunnel 与异常登录及数据外传迹象。

CVE-2025-5777

与 Anubis 勒索软件行动有关的威胁行为者已被观察到利用 Citrix Bleed 2(CVE-2025-5777)漏洞获取初始访问。

Arctic Wolf 在本周发布的报告中表示:“尽管各个 affiliate 的战术不同,但在技战术上仍出现了共同模式,包括使用合法的远程管理与监控(Remote Management and Monitoring, RMM)工具、凭证访问,以及用于横向移动的 hands-on-keyboard 操作。”

“Anubis affiliates 反复滥用合法的远程访问和管理工具,包括 ScreenConnect、Zoho Assist、MeshAgent、Remotely、UltraVNC 和 Total Software Deployment,以便在维持对受害者系统控制的同时,混入正常 IT 活动。”

Anubis 是一个 ransomware-as-a-service(RaaS)团伙,最早于 2024 年末以 Sphinx ransomware 的重塑品牌形式出现。该勒索软件行动于 2025 年 2 月在 Ransomware and Advanced Malware Protection(RAMP)地下论坛上正式宣布。根据 Ransomware.Live 的数据,该网络犯罪团伙已在其数据泄露站点声称有 91 个受害者,其中仅 2026 年 6 月就报告了 11 个受害者。

其主要攻击行业包括医疗保健、商业服务、制造、技术和金融服务。超过 50% 的受害者位于美国,其次是英国、澳大利亚、法国和加拿大。

Rubrik Zero Labs 在 2025 年 7 月发布的报告中表示,Anubis 打出有吸引力的分成比例,向 affiliate 提供已支付赎金金额的 80%,并配合一种不可逆的数据擦除功能,从而进一步施压受害者付款。

Rubrik 当时指出:“当 Anubis 的 /WIPEMODE 模块被激活时,文件仍保留在目录中,但无论是否支付赎金,都会被缩减为 0 KB 大小。” “知道威胁行为者只需一条命令就能把受害者环境恢复到这种焦土状态,会显著增加受害者在 wiper 完全激活前付款的压力。”

今年观察到的勒索软件入侵同时涉及有效的 VPN 凭证使用,以及对 CVE-2025-5777(CVSS 评分:9.3)的利用。该关键漏洞影响 Citrix NetScaler ADC 和 Gateway,攻击者在该设备被配置为 Gateway 或 AAA virtual server 时,可借此绕过认证。

用于这些入侵的 VPN 凭证的确切来源尚不清楚。不过,它们可能来自先前入侵后的获取,或通过 initial access brokers(IABs)、credential stuffing,或信息窃取器活动获得。

Arctic Wolf 解释说:“除 CitrixBleed 2 利用之外,还观察到来自多个 hosting ASN 的有效 Cisco AnyConnect VPN 登录,包括 AS20473 — The Constant Company 和 AS55286 — ServerMania。” “随后,恶意 VPN 认证之后出现了涉及 RDP 和 SMB 的登录活动,导致凭证访问、PsExec service creation、RMM 部署,并最终调用云传输工具进行外传。”

横向移动通过 RDP 和 PsExec 实现,随后部署各种合法的 RMM 工具以维持持久访问,使攻击者能够传输文件并远程执行代码,同时尽量不被发现。部分入侵还配置了 Cloudflare Tunnel(又名 cloudflared)来与受害者环境建立隧道。

攻击的下一阶段是收集凭证,以便进一步进入受感染环境;随后会安装 S3 Browser、rclone、s5cmd、WinSCP 和 PuTTY 等工具,用于在部署勒索软件之前进行数据传输或外传。同时,攻击者还会采取措施削弱系统防御并增加事后分析难度。

该网络安全公司解释说:“这些技术包括禁用 Windows Defender real-time protection、SophosUninstall 活动、与 PCHunter 相关的痕迹,以及跨多个系统的日志清除或篡改。” “至少在一次入侵中,一个 Anubis encryptor 在执行后被删除,从而降低了磁盘上有效载荷工件供后续分析的可用性。”

The Gentlemen 的 Go 后门与 0-day 利用细节

与此同时,Kaspersky 详细披露了 The Gentlemen RaaS 团伙利用已知漏洞和被盗或弱口令凭证突破目标,并使用一个基于 Go 的后门,在侦察、通过 Group Policy 或 PsExec 进行横向移动,以及利用 bring your own vulnerable driver(BYOVD)技术进行防御规避之后,实现远程命令执行。

该植入体被设计为收集系统信息,通过双向 TCP 连接将其外传到外部服务器(“81.177.215[.]15:9443”),并等待操作者响应;当响应字节为“c”时,系统会使用“cmd.exe”在主机上执行该响应。如果字节为 “s”,则会建立 SOCKS 代理连接。

Kaspersky 表示:“这项功能很可能使 The Gentlemen 的红队能够在目标网络内进行跳转,并扩大其扫描覆盖范围。” “鉴于该后门植入体具备建立双向通信、执行命令、设置 SOCKS 代理以及收集信息等能力,很明显它也可根据需要被用于扩展攻击链。”

根据 Expel 的说法,该 RaaS 团伙还将一个鲜为人知的第三方厂商驱动中的 zero-day 漏洞武器化,纳入其 BYOVD 武器库,以获取 kernel-level access、绕过 Windows 安全保护,并终止与 Microsoft、ESET、Palo Alto Networks 和 SentinelOne 相关的受保护安全进程。相关驱动为 ktapi.sys,它是 Kontron 开发的 API 的一部分。

Marcus Hutchins 表示:“目前仍不清楚威胁行为者如何拿到该文件,或如何得知其漏洞。” “BYOVD 仍然是企业面临的巨大威胁,使攻击者能够在几秒钟内禁用最先进的终端安全系统。即使使用最新版本的 Windows,并启用所有 exploit mitigations,也不能提供完全保护。”

VECT 与 TeamPCP 的勒索软件合作

这些发现还与 Sophos Counter Threat Unit 的一项调查相呼应:该调查聚焦于 VECT 与 TeamPCP 之间的合作。双方于 2026 年 3 月宣布合作,目的是将供应链攻击驱动的凭证窃取与勒索软件部署结合起来。

Sophos 在与 The Hacker News 分享的报告中表示:“TeamPCP 与 VECT 的正式合作,使 VECT 能够在所有在 Trivy 和 LiteLLM 供应链攻击中被入侵的组织内部署勒索软件。” “在与 VECT 合作之前,TeamPCP 还以 CipherForce 品牌运营另一个勒索软件行动。CipherForce 在 2026 年 2 月的泄露站点上列出了 6 个受害者,并在 5 月将其改名为 TeamPCP 泄露站点。”

Check Point 和 JUMPSEC 的近期分析发现,VECT 存在实现缺陷,会导致任何大于 128 KB 的文件不是被加密,而是被永久破坏,这促使 TeamPCP 发布声明称他们从未在攻击中使用过 VECT 的 encryptor。该团伙声称:“We own CipherForce, our own private locker.”

Sophos 表示:“Vect/TeamPCP 联盟代表了勒索软件威胁格局中的一个重要变化,即便考虑到削弱其运行效果的技术缺陷也是如此。”

“规模化供应链凭证窃取、逐渐成熟的 RaaS 运营以及地下论坛的大规模动员相结合,构成了一种前所未有的工业化勒索软件部署模式,显著降低了网络犯罪的进入门槛。”