員工監控軟件Kickidler在復雜的勒索軟件攻擊中武器

patheration tocialtion tocor nequiation tocition tocition tocition tocitions protigting protition toction toction toction toction toctive toction toction toction toction toction:攻擊者製作惡意網站，例如假rvtools下載網站，並在搜索引擎結果中推廣它們。

一個毫無疑問的管理員下載似乎是合法的IT管理實用程序，例如 smokedham powershell.net backdoor ，後來安裝了kickidler。這種方法特別隱蔽，因為它利用了經常與管理員帳戶相關的高特權。

Kickidler對這些威脅行為者的戰略價值非常重要。 Varonis解釋說，該軟件使攻擊者能夠克服諸如解耦備份系統身份驗證之類的防禦措施:

“ Kickidler通過捕獲擊鍵和網頁從管理員的工作站中捕獲鍵盤和網頁來解決此問題。這使攻擊者能夠識別出偏僻的密碼，並獲得了訪問可以實現此功能，而無需求助於更容易檢測到的方法，例如內存傾倒。最終目標通常是對關鍵基礎設施的加密，從而導致廣泛的運營中斷和大量財務需求。 

攻擊者利用合法的工具來深度網絡訪問

這些攻擊的詳細機制，如

隨後使用常見的IT工具（例如遠程桌面協議（RDP）（RDP）和

橫跨受害者網絡的橫向移動href=“ https://learn.microsoft.com/en-us/sysinternals/downloads/psexec” target=“ _ blank”> psexec 。在某些情況下，攻擊者部署了 kitty ，Putty SSH客戶端的叉子，將反向RDP Tunnels在SSH上建立到EC2基礎結構，經常掩蓋了port eff port ext winscp 偷走了幾乎一定的數據。 Kickidler的合法功能，由5,000多個組織根據其開發人員，被扭曲以進行隱秘偵聽。

href=“ https://www.synacktiv.com/en/publications/case-study-how-how-hood-hunters-international-and-and-and-and-and-m-friends-target-target-your-hypervisors“ target=“ _ black”> synacktiv的研究，眾所周知，在2025年3月5日早些時候發布了一個非常聰明的人。技術和程序（TTP）。據報導，該國際獵人國際（Hunters International）在2023年10月左右從拆除的Hive Ransomware Group獲得資產後，使用了Trojanized Rvtools安裝程序來提供Smokedham後門。 Synacktiv將Smokedham鏈接到 unc2465威脅性參與者，與先前與鎖定的lockbit和darkside Ransomware Protifations to to to to in/proctortions to to in/proctorry to toe toe to in/proctorry toe toe。 Synacktiv作為“ grabber”，並通過`grem.msi’安裝了數週以監視管理員。 SynackTiv研究人員強調了這種方法的新穎性，並指出:“這是我們第一次看到攻擊者使用的合法工具。” 2024年8月在2024年8月通過 VMware ESXI管理程序的妥協是這些攻擊者的主要目標。 SynackTiv詳細介紹了利用VMware PowerCli和 winscp automation ）基於Rust rust Esxi Esxi Encryptor。 ESXI主機，然後使用WINSCP傳輸和執行勒索軟件。關鍵步驟涉及禁用ESXI的完整性檢查可執行文件。 lansomware本身俱有終端用戶界面，通常設置為延遲執行。

它將停止虛擬機，加密其文件（針對.vmx，.vmdk，.vmsn），然後嘗試超出填充空間以縮小恢復。令人震驚的是，這個特定的ESXI加密器沒有在受影響的系統上留下贖金記錄。