Шифровальщик Black Basta нанял поводыря — самоходку QBot

Шифровальщик Black Basta нанял поводыря — самоходку QBot

Шифровальщик Black Basta нанял поводыря — самоходку QBot

Разбор недавней атаки на клиента NCC Group выявил новое криминальное партнерство. Операторы шифровальщика Black Basta начали использовать QBot для входа в корпоративные сети и внедрения своего вредоноса на все доступные Windows-машины.

Троян QBot (также Quakbot, QakBot и Pinkslipbot) уже почти 15 лет ворует ключи к банковским счетам, Windows-доменам и доставляет других зловредов, в том числе шифровальщиков. Многофункциональные боты распространяются через вложения в спам-письма и умеют самостоятельно путешествовать по сетям жертв заражения.

Операторы шифровальщиков обычно используют QBot для получения первичного доступа к целевой сети. В данном случае Black Basta с его помощью смог проникнуть на многие компьютеры организации, в том числе на серверы Hyper-V и контроллеры домена.

При этом непрошеные гости продвигались по сети следующим образом:

  1. Создали в папке C:\Windows\ взломанной системы файл PsExec.exe (с облегченным аналогом Telnet от Microsoft).
  2. На целевых хостах средствами QBot удаленно запускали временную службу, обеспечивающую исполнение его DLL с помощью regsvr32.exe.
  3. Устанавливали соединение с удаленными узлами по RDP.

Получив доступ к серверу Hyper-V, злоумышленники изменяли настройки заданий Veeam и удаляли все резервные копии виртуальных машин. Чтобы обеспечить себе постоянное присутствие, авторы атаки использовали тулкит Cobalt Strike, а для защиты от обнаружения отключали Microsoft Defender — с помощью PowerShell-команд (локально загружали bat-файл на хост) или путем изменения групповых политик Active Directory.

На двух взломанных серверах в папке Windows был обнаружен файл pc_list.txt с внутренними IP-адресами всех систем в сети жертвы. А на одном из контроллеров домена исследователи нашли скрипт для удаленной загрузки и запуска файлов через WMI. По всей видимости, в рамках атаки его использовали для засева шифровальщика по ранее собранным IP-адресам.

Поведение самого Black Basta не изменилось; перед шифрованием он удалял теневые копии Windows, чтобы жертва не могла самостоятельно вернуть файлы, менял обои рабочего стола, шифровал данные, используя ChaCha20 и RSA, и генерировал ID жертвы для записки с требованием выкупа.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян удаленного доступа пугает жертв дикими криками и страшными картинками

Эксперты ESET обнаружили необычный плагин, созданный для NonEuclid RAT. Модуль использует Windows API для подачи громких звуковых сигналов и параллельно отображает картинку, которая может привидеться только в страшном сне.

Объявившийся в этом году троян NonEuclid — один из многочисленных форков опенсорсного AsyncRAT. Он тоже обладает модульной архитектурой, позволяющей расширить функциональность зловреда.

При создании NonEuclid вирусописатели дали волю своей фантазии: в отличие от более «классических» собратьев DcRAT и VenomRAT, их детище умеет шифровать данные, брутфорсить пароли к FTP и SSH, подменять адреса криптокошельков в буфере обмена, внедрять в PE-файлы пейлоад по выбору оператора, в том числе на USB-устройствах.

Найденный исследователями новый плагин именуется «Screamer» («кричалка», «пугалка»). В него вшиты пять изображений, и по команде оператора зловред выбирает одно из них для вывода.

Он также получает WAV-файл и значение задержки, а при проигрывании выводит звук и высокие частоты на максимум, манипулируя Windows API.

 

Исследователи полагают, что столь необычный компонент предназначен для диверсий (в случае использования зараженной системы для критически важных операций) и шантажа.

Написанный на C# инструмент удаленного администрирования AsyncRAT был опубликован на GitHub как проект с открытым исходным кодом в 2019 году. С тех пор злоумышленники неустанно плодят вредоносные клоны с дополнительными возможностями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru