新興跨平臺BianLian勒索軟件的運營商本月增加了他們的命令和控制（C2）基礎設施，這一發展暗示著該組織的運營節奏正在提速。

使用Go編程語言編寫的BianLian勒索軟件于2022年7月中旬首次被發現，截至9月1日已聲稱有15個受害組織。

值得注意的是，這一新興的雙重勒索勒索軟件家族與同名的Android銀行木馬沒有聯系，后者主要針對移動銀行和加密貨幣應用程序竊取敏感信息。

安全研究人員Ben Armstrong、Lauren Pearce、Brad Pittack和Danny Quist介紹稱，

“該勒索軟件對受害者網絡的初始訪問是通過成功利用ProxyShell Microsoft Exchange Server漏洞實現的，利用它來刪除web shell或ngrok有效負載以進行后續活動。BianLian還將SonicWall VPN設備作為攻擊目標，這是勒索軟件組織的另一個常見目標?！?/p>

與另一個名為“Agenda”的新Golang惡意軟件不同，BianLian攻擊者從初始訪問到實施加密的停留時間最長可達6周，這一持續時間遠高于2021年報告的15天入侵者停留時間的中值。

除了利用離地攻擊（living-off-the-land，LotL）技術進行網絡分析和橫向移動外，該組織還部署定制植入物作為維持對網絡的持久訪問的替代手段。

據研究人員介紹，后門的主要目標是從遠程服務器檢索任意有效負載，將其加載到內存中，然后執行它們。

BianLian與Agenda類似，能夠在Windows安全模式下啟動服務器以執行其對文件加密惡意軟件，同時不被系統上安裝的安全解決方案檢測到。

為消除安全障礙而采取的其他步驟包括刪除卷影副本、清除備份以及通過Windows遠程管理（WinRM）和PowerShell腳本運行其Golang加密器模塊。

據報道，已知最早的與BianLian相關的C2服務器于2021年12月出現在網絡上。但此后，該C2基礎設施經歷了“令人不安的擴張”，現已超過30個活躍IP地址。

網絡安全公司Cyble在本月早些時候詳細介紹了該勒索軟件的作案手法，據Cyble稱，該勒索軟件的目標組織跨越多個行業，如媒體、銀行、能源、制造、教育、醫療保健和專業服務等。而且大多數組織位于北美、英國和澳大利亞。

BianLian是網絡犯罪分子繼續使用跳躍戰術（hopping tactics）以避免被發現的又一跡象。它還增加了使用Go作為基礎語言的越來越多的威脅，使攻擊者能夠在單個代碼庫中進行快速更改，然后可以針對多個平臺進行編譯。

研究人員補充道，BianLian已經證明自身擅長使用離地攻擊（LOtL）方法來橫向移動，并根據他們在網絡中遇到的防御能力來調整操作。

原文鏈接：https://thehackernews.com/2022/09/researchers-detail-emerging-cross.html