Các tác nhân đe dọa đằng sau gia đình ransomware Black Basta đã được quan sát thấy bằng cách sử dụng trojan Qakbot để triển khai khuôn khổ Brute Ratel C4 như một trọng tải giai đoạn hai trong các cuộc tấn công gần đây.
Sự phát triển này đánh dấu lần đầu tiên phần mềm mô phỏng đối thủ non trẻ được phân phối thông qua nhiễm Qakbot, công ty an ninh mạng Trend Micro cho biết trong một phân tích kỹ thuật được công bố vào tuần trước.
Sự xâm nhập, đạt được bằng cách sử dụng một email lừa đảo có chứa một liên kết vũ khí hóa trỏ đến kho lưu trữ ZIP, tiếp tục đòi hỏi phải sử dụng Cobalt Strike cho chuyển động bên.
Mặc dù các tiện ích hợp pháp này được thiết kế để tiến hành các hoạt động thử nghiệm thâm nhập, nhưng khả năng cung cấp quyền truy cập từ xa của chúng đã khiến chúng trở thành một công cụ sinh lợi trong tay những kẻ tấn công đang tìm cách lén lút thăm dò môi trường bị xâm phạm mà không thu hút sự chú ý trong thời gian dài.
Điều này đã được kết hợp bởi thực tế là một phiên bản bẻ khóa của Brute Ratel C4 đã bắt đầu lưu hành vào tháng trước trên toàn thế giới ngầm tội phạm mạng, khiến nhà phát triển của nó phải cập nhật thuật toán cấp phép để khó bẻ khóa hơn.
Qakbot, còn được gọi là QBot và QuackBot, là một kẻ đánh cắp thông tin và trojan ngân hàng được biết là hoạt động từ năm 2007. Nhưng thiết kế mô-đun và khả năng hoạt động như một trình tải xuống đã biến nó thành một ứng cử viên hấp dẫn để loại bỏ phần mềm độc hại bổ sung.
Theo Trend Micro, tệp ZIP trong email chứa tệp ISO, do đó, bao gồm tệp LNK tìm nạp tải trọng Qakbot, minh họa các nỗ lực của một phần các tác nhân đe dọa để thích ứng với các chiến thuật khác sau quyết định chặn macro của Microsoft theo mặc định đối với các tài liệu được tải xuống từ web.
Nhiễm Qakbot được thành công bằng việc truy xuất Brute Ratel và Cobalt Strike, nhưng không phải trước khi thực hiện trinh sát tự động thông qua các công cụ dòng lệnh tích hợp như arp, ipconfig, nslookup, netstat và whoami.
Tuy nhiên, cuộc tấn công đã bị dừng lại trước khi bất kỳ hành động độc hại nào có thể được thực hiện bởi tác nhân đe dọa, mặc dù người ta nghi ngờ rằng mục tiêu cuối cùng có thể là triển khai ransomware trên toàn miền.
Trong một chuỗi thực thi Qakbot khác được phát hiện bởi công ty an ninh mạng, tệp ZIP được phân phối thông qua một phương pháp ngày càng phổ biến được gọi là buôn lậu HTML, dẫn đến việc thực hiện Brute Ratel C4 là giai đoạn thứ hai.
"Chuỗi tiêu diệt Qakbot-to-Brute Ratel-to-Cobalt Strike có liên quan đến nhóm đứng sau Black Basta Ransomware," các nhà nghiên cứu cho biết. "Điều này dựa trên các TTP và cơ sở hạ tầng chồng chéo được quan sát thấy trong các cuộc tấn công của Black Basta."
Những phát hiện này trùng hợp với sự hồi sinh của các cuộc tấn công Qakbot trong những tháng gần đây bằng nhiều kỹ thuật khác nhau như tệp đính kèm HTML, tải bên DLL và chiếm quyền điều khiển luồng email, kỹ thuật cuối cùng đòi hỏi phải thu thập hàng loạt email từ các cuộc tấn công ProxyLogon thành công nhằm vào các máy chủ Microsoft Exchange.
Các diễn viên IcedID đa dạng hóa phương thức giao hàng
Qakbot không phải là phần mềm độc hại truy cập dưới dạng dịch vụ duy nhất đang ngày càng được phân phối thông qua ISO và các định dạng tệp khác để vượt qua các hạn chế vĩ mô, đối với các chiến dịch Emotet, IcedID và Bumblebee đều tuân theo các quỹ đạo tương tự.
Palo Alto Networks Unit 42, vào cuối tháng 9 năm 2022, cho biết họ đã phát hiện ra một tệp Đa ngôn ngữ độc hại mà Microsoft Compiled HTML Help (CHM) đang được sử dụng để phân phối phần mềm độc hại IcedID (hay còn gọi là BokBot).
Các phương pháp phân phối nổi bật khác và con đường lây nhiễm liên quan đến việc sử dụng các tệp ZIP được bảo vệ bằng mật khẩu có chứa tệp ISO, phản ánh tệp của Qakbot, với trọng tải được truyền qua dịch vụ trả tiền cho mỗi trình cài đặt được gọi là PrivateLoader, theo Team Cymru.
Và, trên hết, Emotet dường như đã sẵn sàng cho một loạt các cuộc tấn công mới sau ba tháng gián đoạn ngắn ngủi để làm lại mô-đun "systeminfo" của mình nhằm "cải thiện việc nhắm mục tiêu vào các nạn nhân cụ thể và phân biệt bot theo dõi với người dùng thực", ESET tiết lộ trong một loạt tweet.
"Chúng tôi đã không thấy làn sóng thư rác mới từ Emotet kể từ tháng 7", Jean-Ian Boutin, giám đốc nghiên cứu mối đe dọa tại ESET, nói với The Hacker News. "Không rõ tại sao lại như vậy."
"Họ đã nghỉ ngơi một số lần trong quá khứ, nhưng không bao giờ lâu như vậy. Có lẽ mô-đun mới này có nghĩa là họ đang thử nghiệm các mô-đun và sẽ hoạt động trở lại trong tương lai gần, nhưng điều này tất nhiên chỉ là suy đoán".