今年6月VMware修补虚拟化平台ESXi的身分验证绕过漏洞CVE-2024-37085，隔月微软警告有多个勒索软件骇客组织将其用于攻击行动，如今也有其他骇客组织跟进。

根据思科旗下威胁情报团队Talos的监控，勒索软件骇客组织BlackByte就是一例。

BlackByte疑似透过暴力破解取得初始存取权限，利用VPN存取受害组织内部网路环境，然后入侵2个管理员层级的帐号提升权限，其中1个帐号的用途，是存取vCenter服务器；接着，攻击者为每个ESXi服务器设置AD网域物件并加入网域，然后又建立其他帐号并加入名为ESX Admins的AD群组。骇客这么做，是为了利用CVE-2024-37085，从而让该群组的成员提升在ESXi的权限，控制虚拟机器（VM）、窜改服务器配置、存取系统事件记录，或是监控效能。

这些骇客利用SMB及RDP这两个远端存取管道，进入受害组织的其他系统、资料夹及文件，并透过NTLM进行身分验证。他们也藉由窜改系统登录档，或是手动从重要系统移除EDR系统的方式，来降低受害组织的资安防护强度，其中1起事故骇客甚至窜改ESXi主机的root密码。

值得留意的是，这些骇客除了利用上述漏洞，攻击手法也出现变化，首先，是勒索软件在启动的过程中，会一口气部署4个用于自带驱动程序（BYOVD）攻击的驱动程序，这些元件来自微星系统超频工具Afterburner、Dell用户端韧体更新工具、技嘉主机板公用程序，以及防毒软件Zemana。这些骇客并非首度滥用合法驱动程序，但研究人员指出，过往这些骇客只会运用2至3支驱动程序。

此外，骇客在侦察过程滥用特定使用者帐号，并利用SRVSVC命名管道及特定功能，找出网路环境的共用资料夹。

在此同时，骇客会窜改Windows电脑的登录机码，停用防毒软件Microsoft Defender，并将EXE档列入白名单，然后删除System32资料夹的特定文件，例如：taskmgr.exe、perfmon.exe、shutdown.exe。