Black Bastan kiristysohjelmien hyökkäyksiin liittyvä uhkatekijä on käyttänyt uutta latauslaitetta, joka on samanlainen kuin tunnetusti vaikea tappaa Qakbot, laajalle levinneessä tietojenkalastelukampanjassa, jonka tarkoituksena on päästä organisaatioverkostoihin lisää haitallista toimintaa.
Trend Micron jäljittämä näyttelijä on Water Curupira, ja hänet tunnetaan parhaiten vaarallisista kampanjoista takaovien pudottamiseksi, kuten Cobalt Strike, jotka lopulta johtavat Black Basta ransomware -hyökkäyksiin. 9. tammikuuta julkaistu viesti.
Water Curupira oli aktiivinen vuoden 2023 ensimmäisellä neljänneksellä, minkä jälkeen se näytti pitävän tauon kesäkuun lopussa, joka kesti syyskuun alkuun saakka, jolloin kampanjat alkoivat jälleen tosissaan Trend Micron mukaan. Äskettäin näyttelijä on suorittanut tietojenkalastelukampanjoita, jotka pudottavat uuden latausohjelman, Pikabotin – jolla on yhtäläisyyksiä Qakbotin kanssa, ja se voisi jopa korvata sen, alkuperäisen pääsytroijalaisen. usein edeltää Black Basta lunnasohjelma ja se poistettiin lainvalvontaoperaatiossa nimeltä Operaatio Duck Hunt elokuussa 2023.
"Pikabotiin liittyvien tietojenkalastelukampanjoiden määrä lisääntyi vuoden 2023 viimeisellä neljänneksellä samaan aikaan kuin Qakbot”, Trend Micron tutkijoille luetun viestin mukaan.
Water Curupira toteutti myös useita DarkGate-roskaposti- ja IcedID-kampanjoita vuoden 2023 kolmannen neljänneksen alkuviikkojen aikana, mutta on sittemmin keskittynyt yksinomaan Pikabotiin, he sanoivat.
Qakbot on jatkunut uhkana jopa sen poistamisen jälkeen, jolloin haittaohjelma poistettiin käytöstä noin 700,000 XNUMX tartunnan saaneessa koneessa. Mutta Pikabot - joka sisältää sekä lataajan että ydinmoduulin samassa tiedostossa sekä kuorikoodin, joka purkaa hyötykuorman DLL-tiedoston muodossa sen resursseista - on myös ilmaantunut Water Curupiran kampanjoihin, joilla on samanlainen tehtävä.
Tähän mennessä tutkijat ovat havainneet erillisiä Cobalt Strike -majakoryhmiä, joissa on yli 70 komento- ja ohjausaluetta (C2), jotka johtavat Musta Basta jotka ovat pudonneet Water Curupira -kampanjoissa, he sanoivat.
Kierrosten poistaminen legitimiteetistä
Water Curupiran Pikabot-kampanjat alkavat phishing-sähköpostiviesteillä, joissa käytetään viestiketjujen kaappausta, tekniikkaa, joka käyttää olemassa olevia sähköpostisäikeitä – jotka on mahdollisesti varastettu aiemmilta uhreilta – sähköpostien luomiseen, jotka näyttävät olevan osa aiempaa keskustelua. Tämä lisää todennäköisyyttä, että uhri ajattelee sähköpostin olevan laillinen ja ottaa yhteyttä uhkatekijään.
Kampanja lähettää sähköposteja käyttämällä osoitteita, jotka on luotu joko uusien verkkotunnusten tai ilmaisten sähköpostipalvelujen kautta, jotka käyttävät nimiä, jotka löytyvät alkuperäisistä kaapatuista sähköpostisäikeistä. Viesti sisältää suurimman osan alkuperäisen ketjun sisällöstä, mukaan lukien sähköpostin aiheen, mutta lisää myös lyhyen viestin, joka ohjaa vastaanottajaa avaamaan haitallisen sähköpostin liitteen.
Liite on joko salasanalla suojattu .ZIP-arkiston .ZIP-tiedosto, joka sisältää .IMG-tiedoston, tai .PDF-tiedosto, joka sisältää voimakkaasti obfusoituneen JavaScriptin, ja tiedoston salasana sisältyy sähköpostiviestiin. Näyttelijä käytti kampanjassa havaittuihin tiedostoliitteisiin erilaisia nimiä ja salasanoja, tutkijat totesivat.
Kun uhri on suorittanut JavaScriptin, se yrittää suorittaa sarjan komentoja käyttämällä ehdollista suoritusta päästäkseen Pikabotin mahdolliseen lataukseen ulkoisesta palvelimesta ja suorittaakseen sitten haittaohjelman.
Jos haitallinen liite on .IMG-tiedosto, se sisältää kaksi lisätiedostoa - Word-asiakirjana esiintyvän .LNK-tiedoston ja DLL-tiedoston, joista jälkimmäinen on Pikabot-hyötykuorma, joka on purettu suoraan sähköpostin liitteestä.
Mitä tulee itse hyötykuormaan, Pikabot ei hyökkää järjestelmää vastaan, jos se havaitsee venäjän tai ukrainan käytön ydinkielenään, mikä viittaa siihen, että Water Curupira saattaa olla linjassa jommankumman tai molempien maiden kanssa. Sen ydinmoduuli suorittaa monivaiheisen hyökkäyksen, joka suodattaa useita yksityiskohtia tartunnan saaneesta järjestelmästä ja lähettää heille toimijan hallitseman C2:n, jolla on sitten pääsy järjestelmään jatkaakseen haitallista toimintaa.
Pikabotin haittaohjelmien kompromissin välttäminen
Trend Micro sisällytti viestiin luettelon kompromissiindikaattoreista (IoC) ja kehotti kaikkia käyttäjiä olemaan valppaina vastaanottaessaan sähköposteja ja noudattamaan parhaita käytäntöjä välttääkseen joutumasta uhriksi. Phishing, joka on edelleen keskeinen tapa, jolla uhkatoimijat pääsevät alkuvaiheessa yritysjärjestelmiin.
Näihin käytäntöihin tulisi kuulua osoittimen siirtäminen upotettujen linkkien päälle saadaksesi selville, minne linkki johtaa, sekä lähettäjän henkilöllisyyden tarkistaminen, tuntemattomien sähköpostiosoitteiden, yhteensopimattomien sähköpostien ja lähettäjien nimien sekä väärennetyt yrityssähköpostiviestit merkitseminen todennäköisesti haitallisiksi.
Jos sähköposti väittää tulevan lailliselta yritykseltä, vastaanottajien tulee vahvistaa sekä lähettäjä että sähköpostin sisältö ennen liitteiden lataamista tai upotettujen linkkien valitsemista. Tutkijat neuvoivat myös perustietoturvahygieniaa pitämään käyttöjärjestelmät ja muut ohjelmistot ajan tasalla uusimmilla korjaustiedostoilla sekä säännöllistä varmuuskopiointia tärkeiden tietojen säilyttämiseksi ulkoisessa, turvallisessa paikassa.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/cyberattacks-data-breaches/pikabot-malware-qakbot-replacement-black-basta-attacks
