Black Basta’nın arkasındaki tehdit aktörleri fidye yazılımı ailesi Son saldırılarda Brute Ratel C4 çerçevesini ikinci aşama yük olarak dağıtmak için Qakbot truva atını kullandığı gözlemlendi.
Geliştirme, yeni ortaya çıkan düşman simülasyon yazılımının ilk kez bir Qakbot enfeksiyonu, siber güvenlik firması Trend Micro aracılığıyla teslim edildiğini gösteriyor. söz konusu geçen hafta yayınlanan bir teknik analizde.
ZIP arşivine işaret eden silahlı bir bağlantı içeren bir kimlik avı e-postası kullanılarak gerçekleştirilen izinsiz giriş, ayrıca yanal hareket için Kobalt Strike’ın kullanılmasını gerektirdi.
Bu meşru araçlar, sızma testi faaliyetleri yürütmek için tasarlanmış olsa da, uzaktan erişim sunma yetenekleri, onları, uzun süre dikkat çekmeden güvenliği ihlal edilmiş ortamı gizlice araştırmak isteyen saldırganların elinde karlı bir araç haline getirdi.
Bu, bir kırık versiyon Brute Ratel C4’ün şifresi, geçen ay yeraltındaki siber suçlular arasında dolaşmaya başladı ve geliştiricisinin lisans algoritmasını güncelle çatlamayı zorlaştırmak için.
QBot ve QuackBot olarak da adlandırılan Qakbot, 2007’den beri aktif olduğu bilinen bir bilgi hırsızı ve bankacılık truva atıdır. Ancak modüler tasarımı ve indirici olarak hareket etme yeteneği, onu ek kötü amaçlı yazılımları bırakmak için çekici bir aday haline getirdi.
Trend Micro’ya göre, e-postadaki ZIP dosyası bir ISO dosyası içeriyor ve bu dosya da Qakbot yükünü getiren bir LNK dosyası içeriyor. diğer taktiklere uyum sağlamak Microsoft’un web’den indirilen belgeler için makroları varsayılan olarak engelleme kararının ardından.
Qakbot enfeksiyonu, Brute Ratel ve Cobalt Strike’ın alınmasıyla başarılır, ancak arp, ipconfig, nslookup, netstat ve whoami gibi yerleşik komut satırı araçları aracılığıyla otomatik keşif gerçekleştirmeden önce değil.
Bununla birlikte, nihai hedefin alan çapında fidye yazılımı dağıtımı olabileceğinden şüphelenilse de, saldırı, tehdit aktörü tarafından herhangi bir kötü niyetli eylemde bulunulmadan önce durduruldu.
Siber güvenlik şirketi tarafından tespit edilen başka bir Qakbot yürütme zincirinde, ZIP dosyası HTML kaçakçılığı adı verilen ve giderek daha popüler hale gelen bir yöntemle teslim edilir ve bunun sonucunda Brute Ratel C4’ün ikinci aşama olarak yürütülmesi sağlanır.
Araştırmacılar, “Qakbot-Brute Ratel-to-Cobalt Strike öldürme zinciri, Black Basta Ransomware’in arkasındaki grupla ilişkili” dedi. “Bu, Black Basta saldırılarında gözlemlenen örtüşen TTP’lere ve altyapıya dayanıyor.”
Bulgular, aşağıdaki gibi çeşitli teknikler aracılığıyla son aylarda Qakbot saldırılarının yeniden canlanmasıyla örtüşüyor: HTML dosya ekleri, DLL yan yüklemeve e-posta dizisi ele geçirmesonuncusu Microsoft Exchange sunucularını hedefleyen başarılı ProxyLogon saldırılarından toplu olarak e-posta toplamayı gerektiriyordu.
IcedID Oyuncuları Teslimat Yöntemlerini Çeşitlendiriyor
Emotet, IcedID ve Bumblebee kampanyalarının tümü benzer yörüngeleri takip ettiğinden, Qakbot, makro kısıtlamaları aşmak için ISO ve diğer dosya biçimleri aracılığıyla giderek daha fazla dağıtılan bir hizmet olarak erişim amaçlı kötü amaçlı yazılım olmaktan çok uzaktır.
Palo Alto Networks Unit 42, Eylül 2022’nin sonlarında, söz konusu IcedID (aka BokBot) kötü amaçlı yazılımını iletmek için kullanılan kötü niyetli bir çok dilli Microsoft Derlenmiş HTML Yardımı (CHM) dosyasını keşfetti.
Diğer öne çıkan dağıtım yöntemleri ve enfeksiyon yolları, Qakbot’unkini yansıtan, bir ISO dosyası içeren parola korumalı ZIP dosyalarının kullanımını içeriyordu. Takım Cymru.
Ve hepsinden önemlisi, ifade ESET, “belirli kurbanları hedeflemeyi iyileştirmek ve izleme botlarını gerçek kullanıcılardan ayırt etmek” için “systeminfo” modülünü yeniden işlemek için üç aylık kısa bir aradan sonra yeni bir dizi saldırıya hazırlanıyor gibi görünüyor. ifşa bir dizi tweette.
“Biz görmedik yeni spam dalgaları ESET tehdit araştırması direktörü Jean-Ian Boutin, The Hacker News’e verdiği demeçte, Temmuz ayından bu yana Emotet’ten yayınlanmıyor. Bunun neden böyle olduğu belli değil.
“Geçmişte biraz ara verdiler, ama asla o kadar uzun sürmedi. Belki bu yeni modül, modülleri test ettikleri ve yakın gelecekte tekrar aktif olacakları anlamına geliyor, ancak bu elbette bir spekülasyon.”