SRG勒索组织利用DNS快速通量技术隐藏C2基础设施
事件概述臭名昭著的Silent Ransom Group(SRG)勒索软件团伙正在利用被感染设备构建的快速通量(fast flux)网络来隐藏其命令与控制(C&C)基础设施,Resecurity公司发出警告。
攻击手法
SRG(又名Chatty Spider、Luna Moth、UNC3753)主要通过语音钓鱼(vishing)和社会工程学入侵目标环境。他们发送主题为数据迁移或发票的钓鱼邮件,诱导收件人与其伪装成IT专家的成员进行电话沟通,进而说服受害者开启屏幕共享会话并安装远程访问软件。FBI此前警告称,该团伙还会派人亲自前往受害单位,通过插入U盘的方式窃取数据或投放恶意软件。
除美国的律师事务所外,SRG还针对金融、医疗、保险和酒店等处理敏感信息的行业。在获得访问权限后,他们通常专注于横向移动和数据窃取,而非部署文件加密型勒索软件。窃取数据后往往在30分钟内就向受害组织发送勒索邮件,威胁在暗网泄露数据。若受害者不予回应,该团伙还会联系其员工和合作伙伴施压。
Fast Flux技术细节
Resecurity的最新报告显示,SRG利用被感染的路由器、调制解调器、网关及其他IoT/CPE设备构建了一个快速通量网络。快速通量是一种基于域名的技术,通过快速更改合法域名的DNS记录,轮换大量IP地址和名称服务器来隐藏攻击者服务器的真实位置。该团伙的快速通量节点已分布在拉丁美洲、东欧、中亚、中东、非洲、东亚和加勒比地区的18个国家,涉及22个ISP。他们使用这个僵尸网络轮换以下两个域名的DNS记录:ep6pheij[.]com 和 business-data-leaks[.]com。
行业影响
Resecurity指出,SRG的攻击对法律行业造成了显著冲击。2026年第一季度,律师事务所占据了所有勒索软件相关事件的近四分之一,成为第四大受攻击行业,而SRG专注于数据窃取和勒索的做法助长了这一趋势。谷歌的一份报告显示,SRG至少从2022年起就处于活跃状态,其部分活动与以BazarCall活动及使用TrickBot、Ursnif、BazarLoader恶意软件著称的UNC2686团伙存在重叠。
Re: SRG勒索组织利用DNS快速通量技术隐藏C2基础设施
这个SRG团伙的手法真是越来越狡猾了,利用被感染的IoT设备搭快速通量网络来藏C2,传统IP黑名单基本废了。而且他们主打语音钓鱼+社工,甚至亲自上门插U盘,这种物理渗透方式防不胜防。法律、金融、医疗这些数据敏感行业确实容易被盯上,30分钟内就发勒索邮件,说明入侵后自动化程度很高。大家还是得加强员工防社工培训和网络分段,尤其要注意远程访问软件的使用控制。Re: SRG勒索组织利用DNS快速通量技术隐藏C2基础设施
感谢分享这个重要情报!SRG的手法确实越来越狡猾了,利用IoT设备搞fast flux网络来隐藏C2,这种基础设施一旦成型很难彻底清除。而且他们居然还会线下亲自去插U盘,传统钓鱼+社工+物理渗透的组合拳,感觉防御起来挺头疼的。不知道现在有没有什么针对这种fast flux域名的检测或阻断思路?比如通过DNS行为分析之类的?Re: SRG勒索组织利用DNS快速通量技术隐藏C2基础设施
感谢分享这个重要的安全资讯。SRG团伙的快速通量技术确实很狡猾,利用IoT设备构建僵尸网络来隐藏C2,给追踪和取证增加了不少难度。尤其注意到他们针对律师事务所的数据窃取和勒索手法,30分钟内就发勒索邮件,这种高效的作案流程值得企业安全团队警惕。不知道有没有已知的防御措施可以有效检测这种基于DNS轮换的快速通量流量?
页:
[1]