Die Bedrohungsakteure, die hinter der Black Basta Ransomware-Familie stehen, haben den Qakbot-Trojaner in den letzten Angriffen genutzt, um das Brute Ratel C4-Framework als zweite Stufe der Nutzlast einzusetzen.
Dies ist das erste Mal, dass die aufkommende Simulationssoftware des Gegners über eine Qakbot-Infektion verbreitet wird, so das Cybersicherheitsunternehmen Trend Micro in einer technischen Analyse, die letzte Woche veröffentlicht wurde.
Das Eindringen erfolgte über eine Phishing-E-Mail, die einen waffenfähigen Link enthielt, der auf ein ZIP-Archiv verwies, und die Verwendung von Cobalt Strike für laterale Bewegungen.
Diese legitimen Programme sind zwar für die Durchführung von Penetrationstests gedacht, aber ihre Fähigkeit, Fernzugriff zu gewähren, hat sie zu einem lukrativen Werkzeug in den Händen von Angreifern gemacht, die die kompromittierte Umgebung heimlich untersuchen wollen, ohne über längere Zeit Aufmerksamkeit zu erregen.
Erschwerend kommt hinzu, dass im letzten Monat eine geknackte Version von Brute Ratel C4 im cyberkriminellen Untergrund kursierte, was den Entwickler dazu veranlasste, den Lizenzierungsalgorithmus zu aktualisieren, um ihn schwerer zu knacken zu machen.
Qakbot, auch QBot und QuackBot genannt, ist ein Informationsdiebstahl- und Banking-Trojaner, der seit 2007 aktiv ist. Aber sein modularer Aufbau und seine Fähigkeit, als Downloader zu fungieren, haben ihn zu einem attraktiven Kandidaten für das Einschleusen weiterer Malware gemacht.
Laut Trend Micro enthält die ZIP-Datei in der E-Mail eine ISO-Datei, die wiederum eine LNK-Datei enthält, die die Qakbot-Nutzdaten abruft. Dies zeigt, dass die Bedrohungsakteure versuchen, sich nach der Entscheidung von Microsoft, Makros für aus dem Internet heruntergeladene Dokumente standardmäßig zu blockieren, anderen Taktiken anzupassen.
Auf die Qakbot-Infektion folgt der Abruf von Brute Ratel und Cobalt Strike, aber nicht bevor die automatische Erkundung durch integrierte Kommandozeilen-Tools wie arp, ipconfig, nslookup, netstat und whoami durchgeführt wurde.
Der Angriff wurde jedoch gestoppt, bevor der Bedrohungsakteur böswillige Maßnahmen ergreifen konnte, obwohl vermutet wird, dass das Ziel eine domänenweite Verbreitung von Ransomware gewesen sein könnte.
In einer anderen Ausführungskette von Qakbot, die das Cybersecurity-Unternehmen entdeckte, wird die ZIP-Datei über eine immer beliebtere Methode namens HTML-Schmuggel übermittelt, die im zweiten Schritt zur Ausführung von Brute Ratel C4 führt.
„Die Qakbot-to-Brute Ratel-to-Cobalt Strike Kill Chain wird mit der Gruppe hinter der Black Basta Ransomware in Verbindung gebracht“, so die Forscher. „Dies basiert auf den Überschneidungen der TTPs und der Infrastruktur, die bei Black Basta-Angriffen beobachtet wurden.
Die Ergebnisse fallen mit einem Wiederaufleben der Qakbot-Angriffe in den letzten Monaten zusammen, bei denen verschiedene Techniken wie HTML-Dateianhänge, DLL-Side-Loading und E-Mail-Thread-Hijacking zum Einsatz kommen, wobei letzteres das massenhafte Abfangen von E-Mails aus erfolgreichen ProxyLogon-Angriffen auf Microsoft Exchange-Server beinhaltet.
IcedID-Akteure diversifizieren Liefermethoden
Qakbot ist bei weitem nicht die einzige Access-as-a-Service-Malware, die zunehmend über ISO- und andere Dateiformate verbreitet wird, um Makro-Beschränkungen zu umgehen, denn die Kampagnen von Emotet, IcedID und Bumblebee sind alle ähnlich verlaufen.
Palo Alto Networks Unit 42 entdeckte Ende September 2022 eine bösartige polyglotte Microsoft Compiled HTML Help (CHM) Datei, die zur Verbreitung der IcedID (auch bekannt als BokBot) Malware verwendet wurde.
Andere bekannte Verbreitungsmethoden und Infektionswege waren passwortgeschützte ZIP-Dateien, die eine ISO-Datei enthielten, die der von Qakbot ähnelte, wobei die Nutzlast laut Team Cymru über einen kostenpflichtigen Dienst namens PrivateLoader verbreitet wurde.
Zu allem Überfluss scheint sich Emotet nach einer kurzen dreimonatigen Pause auf neue Angriffe vorzubereiten, um sein „Systeminfo“-Modul zu überarbeiten, um „die Ausrichtung auf bestimmte Opfer zu verbessern und Tracking-Bots von echten Nutzern zu unterscheiden“, wie ESET in einer Reihe von Tweets mitteilte.
„Wir haben seit Juli keine neuen Spam-Wellen von Emotet gesehen“, sagte Jean-Ian Boutin, Direktor für Bedrohungsforschung bei ESET, gegenüber The Hacker News. „Es ist nicht klar, warum das so ist.
„In der Vergangenheit haben sie zwar einige Pausen eingelegt, aber nie für so lange. Vielleicht bedeutet dieses neue Modul, dass sie Module testen und in naher Zukunft wieder aktiv werden, aber das ist natürlich reine Spekulation.“