Qakbot Trojan IOCs - Part 19

remote access Trojan IOC

В последнее время участились случаи распространения вредоносных программ, использующих файлы образов дисков. Из них вредоносная программа Qakbot распространялась в форматах файлов ISO и IMG, а команда анализа ASEC обнаружила, что недавно она изменила свое распространение на использование файлов VHD. Такое использование файлов образов дисков (IMG, ISO, VHD) рассматривается как метод Qakbot обойти Mark of the Web (MOTW). Файлы образов дисков позволяют обойти функцию MOTW, поскольку при извлечении или монтировании файлов внутри них MOTW не наследуется.

Qakbot - это банковская вредоносная программа, которая выполняет обычный процесс wermgr.exe перед внедрением вредоносных данных. Внедренный процесс пытается установить соединение с C2, и когда попытка успешна, он выполняет дополнительные вредоносные действия, такие как загрузка вредоносных модулей и вымогательство финансовой информации.

Фишинговое письмо, распространяющее Qakbot, показано ниже. Как и в предыдущих случаях, оно содержит вложение HTML-файла, которое генерирует сжатый файл.

При выполнении вложенного HTML-файла загружается страница, имитирующая Google Drive. На этом этапе сжатый файл, содержащийся в HTML-сценарии, автоматически создается сценарием. Сжатый файл защищен паролем, и пароль можно найти на HTML-странице.

Сжатый файл содержит файл VHD, который является файлом виртуального диска.

Файлы VHD могут автоматически монтироваться в Windows 8 и последующих версиях, а файлы создаются внутри, как показано ниже.
Свойства созданного файла LNK показаны ниже, и он выполняет созданный рядом с ним файл reserved.cmd. Она выполняет файл resting.cmd, разбирает определенную строку и передает ее в качестве аргумента.
Эта команда объединяет строку, полученную в качестве аргумента, и загружает файл hogs.tmp через rundll32. Файл hogs.tmp является DLL-файлом и представляет собой вредоносную программу Qakbot.

Indicators of Compromise

MD5

  • 1c1deaa10c6beea64661e8afba6ce276
  • 5bd4a0f37a6420a00e1ceb378446f8b8
  • 5cbd45a04efdec84a576398e8ed702e6
  • 63524b4118710e4d6d522b0165d71b71
  • ab4c2e5302c44ddc16f5fe4162640bd0

 

SEC-1275-1
Добавить комментарий