勒索软件团伙转向 Citrix Bleed 2、BYOVD 与供应链凭证

导语:Anubis 勒索软件团伙被发现利用 Citrix Bleed 2(CVE-2025-5777)高危漏洞获取初始访问权限,并滥用合法远程管理监控工具进行横向移动。同时,The Gentlemen RaaS 组织借助被盗凭据与 BYOVD 技术实施攻击,对企业终端安全构成严重威胁。
Anubis 勒索软件团伙利用 Citrix Bleed 2 漏洞
与 Anubis 勒索软件运营相关的威胁行为者被观察到利用 Citrix Bleed 2(CVE-2025-5777)漏洞获取初始访问权限。
Arctic Wolf 在本周发布的一份报告中表示:”尽管各附属机构的战术有所不同,但在利用合法远程管理监控(RMM)工具、凭据访问以及用于横向移动的手动键盘操作过程中,出现了共同的战术模式。”
“Anubis 附属机构反复滥用合法的远程访问和管理工具,包括 ScreenConnect、Zoho Assist、MeshAgent、Remotely、UltraVNC 和 Total Software Deployment,以便在维持对受害者系统控制的同时融入正常的 IT 活动中。”
Anubis 勒索即服务背景
Anubis 是一个勒索即服务(RaaS)组织,最初于 2024 年末作为 Sphinx 勒索软件的更名品牌出现。该勒索软件运营于 2025 年 2 月在勒索软件与高级恶意软件保护(RAMP)地下论坛正式宣布。根据 Ransomware.Live 的数据,该网络犯罪团伙已在数据泄露网站上声称对 91 名受害者负责,仅 2026 年 6 月就报告了 11 名受害者。
主要目标行业包括医疗保健、商业服务、制造、科技和金融服务。超过 50% 的受害者位于美国,其次是英国、澳大利亚、法国和加拿大。
在 2025 年 7 月发布的一份报告中,Rubrik Zero Labs 表示,Anubis 宣传具有吸引力的利润分成,向附属机构提供所支付赎金的 80%,并配以不可逆的数据擦除功能,从而加大对受害者支付赎金的压力。
Rubrik 当时指出:”当 Anubis 的 /WIPEMODE 模块被激活时,无论是否支付赎金,文件将保留在目录中但被缩减为 0 KB 大小。”Rubrik 还表示:”知道威胁行为者可以通过一条命令将受害者的环境恢复到这种焦土状态,这显著增加了受害者在擦除器完全激活前支付赎金的紧迫性。”
入侵链与 Citrix Bleed 2 漏洞利用
今年观察到的勒索软件入侵涉及使用合法 VPN 凭据以及利用 CVE-2025-5777(CVSS 评分:9.3),这是一处影响 Citrix NetScaler ADC 和 Gateway 的高危漏洞,当设备配置为 Gateway 或 AAA 虚拟服务器时可能被攻击者滥用以绕过身份验证。
这些入侵中使用的 VPN 凭据的确切来源尚不清楚。但是,它们可能是在先前的入侵之后获取的,或者是通过初始访问中介(IAB)、凭据填充或信息窃取活动获得的。
Arctic Wolf 解释道:”除 CitrixBleed 2 漏洞利用外,还观察到来自多个托管 ASN(包括 AS20473 — The Constant Company 和 AS55286 — ServerMania)的合法 Cisco AnyConnect VPN 登录。恶意 VPN 身份验证之后是涉及 RDP 和 SMB 的登录活动,导致凭据访问、PsExec 服务创建、RMM 部署,并最终调用云传输工具进行数据外泄。”
横向移动通过 RDP 和 PsExec 实现,进而部署各种合法 RMM 工具以维持持久访问,使攻击者能够在保持隐蔽的同时传输文件和远程执行代码。部分入侵还配置了 Cloudflare Tunnel(即 cloudflared)以建立通往受害者环境的隧道。
数据外泄与防御规避
攻击的下一阶段涉及收集凭据以便更深层次地访问已被入侵的环境,之后安装 S3 Browser、rclone、s5cmd、WinSCP 和 PuTTY 等工具,用于在勒索软件部署之前进行数据传输或外泄。与此同时,攻击者还会采取措施削弱系统防御并使事后分析变得复杂。
该网络安全公司解释道:”这些技术包括禁用 Windows Defender 实时保护、SophosUninstall 活动、PCHunter 相关工件,以及跨多个系统的日志清除或篡改。在至少一次入侵中,Anubis 加密器在执行后被删除,减少了磁盘上可供后续分析的载荷工件的可用性。”
The Gentlemen 团伙使用 BYOVD 技术和 Go 后门
此次披露与卡巴斯基对 The Gentlemen RaaS 组织利用已知漏洞和被盗或弱登录凭据入侵目标,以及使用基于 Go 的后门在侦察后启用远程命令执行、通过组策略或 PsExec 进行横向移动、并使用自带易受攻击驱动程序(BYOVD)技术进行防御规避的详细分析同时发布。
该植入程序被设计用于收集系统信息,通过双向 TCP 连接将其外泄至外部服务器(”81.177.215[.]15:9443″),并等待操作员的响应,如果响应字节为 “c”,则使用 “cmd.exe” 在主机上执行。如果字节为 “s”,则建立 SOCKS 代理连接。
卡巴斯基表示:”此功能可能使 The Gentlemen 的红队团队能够在目标网络内进行横向移动并扩大其扫描覆盖范围。”该公司补充道:”鉴于后门植入程序的能力,例如建立双向通信、执行命令、设置 SOCKS 代理以及收集信息,很明显它也可以根据需要用于扩展攻击链。”
ktapi.sys 零日漏洞武器化
根据 Expel 的说法,该 RaaS 组织还将其 BYOVD 武器库中武器化了一个鲜为人知的第三方供应商驱动程序中的零日漏洞,以获取内核级访问权限、绕过 Windows 安全防护并终止与 Microsoft、ESET、Palo Alto Networks 和 SentinelOne 相关的受保护安全进程。所涉及的驱动程序是 ktapi.sys,它是 Kontron 开发的 API 的一部分。
Expel 的首席威胁研究员 Marcus Hutchins 表示:”目前仍不清楚威胁行为者是如何获得该文件的或如何得知其漏洞的。BYOVD 仍然是对企业的巨大威胁,使攻击者能够在数秒内禁用最先进的终端安全系统。即使使用最新的 Windows 版本并启用所有漏洞缓解措施,也无法提供完全的保护。”
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/ransomware-groups-turn-to-citrix-bleed.html
作者:info@thehackernews.com (The Hacker News)

