突破性的新威胁分析：Killnet Hack-for-Hire Group

以下是一份威胁分析，详细介绍了Quadrant Security对 Killnet 黑客组织进行的研究。

谁是杀网？

Killnet 是一个雇佣黑客组织，与俄罗斯政府的战略目标有着密切但间接的联系，主要利用分布式拒绝服务 ( DDoS ) 作为首选攻击媒介。尽管该组织迄今为止的影响力有限，但有明显迹象表明，Killnet 将继续通过恶意网络发展和升级攻击。

杀网活动背景

多个消息来源称，KillNet 声称对从“政府医疗保健来源”到洛克希德马丁公司的数据泄露负责。这不是拒绝服务攻击本身的预期结果。在撰写本文时，没有直接证据表明 Killnet 如何获得此信息，但有消息称观察到针对面向公众的服务的暴力字典攻击。但是，该消息来源没有提供参考。

其他分析人士认为，继续使用 DDoS 可能会分散和误导防御措施和团队，从而允许发生更多有害攻击，例如勒索软件/Wiper 恶意软件感染。

由于他们强烈的亲俄立场，一些人认为其他亲俄团体可能会向他们提供帮助并瞄准/协助攻击 Killnet 目标。列出的一个特定组是 Conti Ransomware 组。 Killnet 和 Conti 都宣布在入侵乌克兰后支持俄罗斯。此外，Killnet 已公开表示希望团结力量并将其他亲俄黑客组织聚集在一起。尽管他们维护着多个 Telegram 频道，但 Killnet 还建立了自己的论坛来汇集威胁行为者。

潜入无限论坛

仔细查看该论坛会发现多个部分，从为 Killnet / Infinity 论坛筹款到提供各种恶意活动（包括网络钓鱼活动、被盗信用卡信息、如何使用被盗数据等等）的正常运作的商店。

论坛的另一个令人担忧的部分是“通缉”部分。观察到的一个帖子正在征求 Wiper 恶意软件开发人员的意见，声称他们已经入侵了一家医院并提升了权限。虽然医院的名称没有透露，但截图显示被入侵的目标是乌克兰人。类似主题的其他评论表明一家英语医院的妥协，指出 VNC 被用来查看和编辑 MRI 扫描。

该论坛的新闻版块充斥着有关乌克兰“SVO”（Spetsialnaya Voennaya Operatsiya == SMO（Eng），特种军事行动）的亲俄宣传。此类论坛有望在 TOR 连接上找到，而不是在“开放”互联网上。一些论坛表明可能会在月底转向TOR 。

研究总结

尽管 DDoS 的威胁令人担忧，但 Killnet 的犯罪伙伴关系“共享目标”的可能性更令人担忧。 Infinity 论坛上的活跃线程使情况更加复杂，这些线程表明最近的活跃违规行为。有强烈的迹象表明，KillNet 将继续通过这种恶意网络发展和升级他们的攻击。

我们确定，KillNet ATP 小组最担心的是 TTP 向基于加密的恶意软件（勒索软件/Wiper 恶意软件）的隐含演变，以及勒索/双重勒索攻击或目标完全丢失数据作为最终目标的可能性.

要查看/下载完整的威胁分析详细信息，包括分析师建议，请访问： https ://quadrantsec.com/blog/threat-analysis-killnet