新兴的跨平台BianLian勒索软件的运营商本月增加了他们的命令和控制（C2）基础设施，这一发展暗示了该集团运营节奏的加快。

网络安全公司在一份报告中表示，用Go编程语言编写的BianLian于2022年7月中旬首次被发现，截至9月1日，已有15个受害者组织声称。

值得注意的是，双重勒索软件家族与同名的Android银行木马没有联系，该木马针对移动银行和加密货币应用程序来窃取敏感信息。

对受害者网络的初始访问是通过成功利用ProxyShell Microsoft Exchange Server漏洞来实现的，利用它来删除Web shell或ngrok有效负载以进行后续活动。

“BianLian还针对SonicWall VPN设备进行利用，这是勒索软件组织的另一个常见目标，”研究人员Ben Armstrong，Lauren Pearce，Brad Pittack和Danny Quist说。

与另一个名为 Agenda的新Golang恶意软件不同，BianLian表现出从初始访问和实际加密事件到六周的停留时间，这一持续时间远高于2021年报告的入侵者停留时间中位数15天。

除了利用LotL技术进行网络分析和横向移动外，该小组还部署了定制植入物作为保持对网络持久访问的替代手段。

后门的主要目标是从远程服务器检索任意有效负载，将其加载到内存中，然后执行它们。

BianLian与议程类似，能够以Windows安全模式启动服务器以执行其文件加密恶意软件，同时保持系统上安装的安全解决方案不被发现。

为克服安全障碍而采取的其他步骤包括删除副本，清除备份以及通过Windows远程管理（WinRM）和PowerShell脚本运行其Golang加密器模块。

已知最早的与BianLian相关的C2服务器据说于2021年12月上线。但此后，该基础设施见证了一场“令人不安的爆炸式增长”，超过了30个活跃的IP地址。

根据Cyble在本月早些时候详细介绍了勒索软件的运作方式，目标公司跨越了媒体，银行，能源，制造，教育，医疗保健和专业服务等多个行业领域。大多数公司都位于北美，英国和澳大利亚。

BianLian是网络犯罪分子致力于继续跳跃策略以避免被发现的另一个迹象。它还增加了使用Go作为基础语言的越来越多的威胁，使对手能够在单个代码库中进行快速更改，然后可以针对多个平台进行编译。

“BianLian已经证明自己擅长横向移动的土地生活（LOL）方法，根据他们在网络中遇到的能力和防御来调整他们的行动，”研究人员说。