NCC Group 的研究人员透露，在过去几个月中，攻击者越来越多地攻陷企业网络以窃取数据和勒索受害者，但并未中断他们的运营。被称为SnapMC 的黑客组织试图利用网络服务器和VPN应用程序中的多个漏洞进行初始突破，通常会在30分钟内攻入受害者网络。

　　该组织随后会窃取受害者数据以利用它进行勒索，但不会使用勒索软件或其他方式来破坏受害者的运营。也就是说，这个SnapMC 的新参与者出现在网络犯罪领域，实施的是典型数据窃取勒索，它不执行文件加密部分。文件加密被认为是勒索软件攻击的核心组成部分，因为它正是给受害者带来操作中断的元素。

　　SnapMC 威胁要在网上发布被盗数据，除非支付赎金，向受害者提供被盗数据列表作为网络失陷的证据，甚至威胁要进行下一步动作。

　　攻击者扫描网络服务器应用程序和VPN中的多个漏洞，使其能够访问目标环境。NCC Group 观察到该组织利用Telerik UI for ASPX.NET 中的远程代码执行缺陷以及SQL 注入错误。

　　注：Telerik UI的ASP.NET AJAX是web应用程序中广泛使用的一套UI组件。它存在不安全的JSON对象反序列化，导致在软件的底层主机上任意远程执行代码。

　　在初始入侵成功之后，攻击者执行有效载荷以安装用于远程访问的反向 shell。观察到的有效载荷表明SnapMC 正在使用针对Telerik 的公开可用的概念验证（POC）漏洞。

　　威胁行为者还使用 PowerShell 脚本进行侦察，并在一种情况下尝试提升权限。他们还部署了各种用于数据收集和渗漏的工具。

　　NCC集团的威胁情报团队预测，数据泄露勒索攻击将随着时间的推移而增加，因为与全面的勒索软件攻击相比，它需要更少的时间，甚至更少的技术深度知识或技能。在勒索软件攻击中，对手需要在窃取数据和部署勒索软件之前实现隐蔽潜伏并成为域管理员。而在数据泄露勒索攻击中，大多数活动甚至可以是自动化的，花费更少的时间，但仍有重大影响。因此，确保您能够检测到此类攻击，并拥有随时可在短时间内执行的事件响应计划，这对于高效、有效地减轻SnapMC对您的组织构成的威胁至关重要。

　　因此，NCC公司建议采取如下缓解措施，以积极应对此类攻击。

　　首先，攻击者的初始入侵突破通常是通过已知的漏洞实现的，这些漏洞存在补丁。及时打补丁和保持（互联网连接）设备的更新是防止成为这些类型攻击的受害者的最有效的方法。通过（定期执行）漏洞扫描，确保识别出驻留在您的网络中易受攻击的软件。

　　此外，考虑到提供软件包的第三方也可能使用易受攻击的软件组件，您无法直接访问该漏洞。因此，在您的组织和软件供应商之间有一个明确的相互理解和明确定义的关于补丁管理和保留政策的协议是很重要的。后者也适用于一种可能的义务，即让你的供应商为你提供系统，以便在发生事故时进行取证和根本原因分析。

　　值得一提的是，当参考测试特定版本的Telerik的可利用性时，很明显，当软件组件位于配置良好的Web应用程序防火墙（WAF）后面时，利用是不成功的。

　　最后，正确地实现检测和事件响应机制和流程可以极大地增加成功减轻对组织的严重影响的机会。及时的发现和有效的反应将减少甚至在它成为现实之前的损害。

　　参考资源

　　1、https://research.nccgroup.com/2021/10/11/snapmc-skips-ransomware-steals-data/

　　2、https://www.securityweek.com/extortionist-hacker-group-snapmc-breaches-networks-under-30-minutes

　　3、