新一代隐秘后期利用框架 EXFILTRATE-22

关键要点

• EXFILTRATE-22（或称 EX-22）是一个新出现的后期利用框架，旨在企业网络中部署勒索软件，并绕过检测。
• 该框架源自其他后期利用框架的泄露源代码，并采用与 LockBit 3.0 相同的命令和控制基础设施及“域前置”技术。
• 威胁行为者：可能是前 LockBit 关联者，具备出色的防护逃避和反分析技术。
• EX-22 在 YouTube 和 Telegram 上宣传为完全不可检测的恶意软件，价格从 $1,000（每月订阅）到 $5,000（终身访问）不等。
• 框架有多项高级功能，包括提升的反向 shell、文件上传下载、记录击键以及部署勒索软件。

新出现的后期利用框架 EXFILTRATE-22（EX-22）旨在企业网络中部署勒索软件，同时成功避开检测。根据新加坡网络安全公司 CYFIRMA的报告，该框架是基于其他后期利用框架的泄露源代码构建的，采用了与 LockBit 3.0 相同的命令和控制基础设施及“域前置”技术。

CYFIRMA 的研究团队表示，背后可能是前 LockBit关联者，他们对防护逃避和反分析技术有深刻理解。“这些威胁行为者愿意建立自己的附属计划，并提出激进的营销策略——声称在所有的防病毒和 EDR供应商面前都是[完全不可检测]的，”CYFIRMA 在
中提到。

在 YouTube 和 Telegram 上被宣传为完全不可检测的恶意软件，EXFILTRATE-22 的价格范围从 $1,000 的月度订阅到
$5,000 的终身访问。购买者将获得一个登录面板，以访问 EXFILTRATE-22 服务器，使威胁行为者能够远程控制恶意软件。CYFIRMA表示：“通过将其操作集中在远程服务器上，[威胁行为者] 可以使安全研究人员更难分析和识别恶意软件的来源。”

EXFILTRATE-22 的一些显著功能包括建立提升的反向 shell、上传和下载文件、在感染设备上记录击键，当然还有

来加密文件。此外，该框架还可以绕过用户访问控制，使用单一命令创建计划任务，并允许攻击者检查现有用户的组成员资格，以确定是否需要特权升级。

CYFIRMA 指出：“可以很有信心地得出结论，创建 EX-22 的威胁行为者是高度复杂的，可能会继续增加恶意软件的逃避性。通过持续的改进和支持，EX-22成为任何计划购买后期利用工具的威胁行为者的首选，尤其是那些由于高检测率而不愿使用传统工具的人。”

考虑到 LockBit 3.0 勒索软件构建器在去年九月
，GuidePoint Security 的威胁情报顾问 Nic Finn 表示，EX-22的发展似乎是威胁行为者利用泄露源代码建立自己勒索软件业务的一个例子。

但与许多为了短期利润而冒出的短暂团体不同，EX-22 背后的威胁行为者似乎组织良好且雄心勃勃，Recorded Future 的勒索软件专家 AllanLiska 表示：“复杂的利用框架确实给防御者带来了挑战。我们已经有了像 Cobalt Strike 和 Brute Ratel 这样的隐秘框架，现在
EX-22 的加入无疑是防御者需要关注的第三种选择。”

Finn 进一步补充：“我们过去也见过威胁行为者使用稍微修改过的泄露勒索软件工具。考虑到 LockBit 的成功，这些出现的勒索软件团体很可能也在整合
LockBit 的