Команда Cybereason Global SOC (GSOC) расследует случаи заражения Qakbot, наблюдаемые в клиентских средах, связанные с потенциально широко распространенной кампанией по борьбе с вымогательством, проводимой Black Basta. Кампания направлена в основном на компании, расположенные в США.
Black Basta Ransomware
Black Basta - это группа разработчиков программ-вымогателей, появившаяся в апреле 2022 года и нацеленная на организации в США, Канаде, Великобритании, Австралии и Новой Зеландии. Группа известна тем, что использует тактику двойного вымогательства: они крадут конфиденциальные файлы и информацию у жертв, а затем используют их для вымогательства, угрожая опубликовать данные, если жертва не заплатит выкуп.
В этой последней кампании банда Black Basta ransomware использует вредоносное ПО QakBot для создания начальной точки входа и продвижения по сети организации. QakBot, также известный как QBot или Pinkslipbot, представляет собой банковский троян, используемый в основном для кражи финансовых данных жертв, включая информацию из браузера, нажатия клавиш и учетные данные. После успешного заражения среды QakBot устанавливает бэкдор, позволяющий распространять дополнительные вредоносные программы - например, программы с выкупом.
В данном предупреждении команда Cybereason описывает сценарий атаки, которая началась с заражения QBot, в результате чего на нескольких ключевых машинах был загружен Cobalt Strike, что в итоге привело к глобальному развертыванию вымогательского ПО Black Basta. Чтобы усложнить процесс восстановления, объект угрозы также блокировал жертву в сети, отключая службы DNS. Мы наблюдали применение этой тактики в отношении нескольких жертв.
Создание данного предупреждения об угрозе было мотивировано большим количеством организаций, чьи ИТ-инфраструктуры пострадали от этой недавней кампании Qakbot, а также агрессивностью угрожающего субъекта, стоящего за ней, что часто приводит к появлению вымогательского ПО (в нашем случае Black Basta, но это может привести к появлению других штаммов вымогательского ПО).
- Угрожающие субъекты действуют чрезвычайно быстро: В различных случаях компрометации, которые мы выявили, угрожающий агент получал привилегии администратора домена менее чем за два часа и переходил к развертыванию выкупа менее чем за 12 часов.
- Высокая степень серьезности: Cybereason GSOC оценивает уровень угрозы как ВЫСОКИЙ, учитывая потенциально широкое распространение кампании, проводимой Black Basta.
- Широкомасштабная кампания QBot, направленная на американские компании: Угрожающие субъекты, использующие загрузчик QBot, закинули большую сеть, нацеленную в основном на американские компании, и быстро действовали в отношении всех жертв spear phishing, которых они скомпрометировали. За последние две недели мы наблюдали более 10 различных клиентов, пострадавших от этой недавней кампании.
- Блокировка сети: Среди многих выявленных нами инфекций Qakbot две позволяли субъекту угрозы развернуть вымогательское ПО, а затем заблокировать сеть жертвы, отключив службу DNS жертвы, что еще больше усложняло процесс восстановления.
- Развертывание Black Basta: Одна особенно быстрая компрометация, которую мы наблюдали, привела к развертыванию вымогательского ПО Black Basta. Это позволило нам установить связь между субъектами угроз, использующими Qakbot, и операторами Black Basta.
- Учитывая все эти наблюдения, рекомендуем группам безопасности и обнаружения следить за этой кампанией, поскольку она может быстро привести к серьезным повреждениям ИТ-инфраструктуры.
Indicators of Compromise
IPv4
- 108.177.235.29
- 108.62.118.197
- 144.202.42.216
IPv4 Port Combinations
- 105.184.161.242:443
- 131.106.168.223:443
- 137.186.193.226:3389
- 142.161.27.232:2222
- 157.231.42.190:443
- 170.253.25.35:443
- 172.90.139.138:2222
- 174.115.87.57:443
- 180.151.104.143:443
- 200.93.14.206:2222
- 24.49.232.96:443
- 24.64.114.59:2222
- 70.50.3.214:2222
- 70.64.77.115:443
- 73.88.173.113:443
- 75.143.236.149:443
- 75.98.154.19:443
- 76.9.168.249:443
- 82.127.174.33:2222
- 82.31.37.241:443
- 82.41.186.124:443
- 84.209.52.11:443
- 86.133.237.3:443
- 87.223.80.45:443
- 90.89.95.158:2222
- 91.165.188.74:50000
- 92.189.214.236:2222
- 92.207.132.174:2222
- 94.70.37.145:2222
Domains
- dimingol.com
- jesofidiwi.com
- tevokaxol.com
- vopaxafi.com
SHA1
- 3a852c006085d0ce8a18063e17f525e950bb914c
- 4202bf2408750589e36750d077746266176ac239
- 75b2593da627472b1c990f244e24d4e971c939e7