Quantum Ransomware - одна из самых новых вредоносных программ, уже есть несколько сообщений об атаках, совершенных с ее помощью.
Quantum Ransomware
Злоумышленник смог проникнуть в сеть, когда конечная точка пользователя была скомпрометирована полезной нагрузкой IcedID, содержащейся в ISO-образе. Предположительно полезная нагрузка была доставлена по электронной почте, однако не удалось идентифицировать почтовое отправление.
ISO содержал DLL-файл (вредоносная программа IcedID) и ярлык LNK для его выполнения. Конечный пользователь после щелчка на ISO-файле мог видеть только один файл с именем "document", который является LNK-ярлыком для скрытой DLL, упакованной в ISO. Когда пользователь нажимает на LNK-файл, запускается DLL IcedID.
После выполнения библиотеки IcedID DLL выполнялась целая серия задач по обнаружению с помощью встроенных утилит Windows, таких как ipconfig, systeminfo, nltest, net и chcp. Вредоносная программа IcedID также создала запланированную задачу в качестве средства сохранения на хосте-плацдарме.
Примерно через два часа был развернут Cobalt Strike с использованием методов "выемки" процессов и инъекций. Это ознаменовало начало деятельности... Эта деятельность включала использование AdFind через пакетный сценарий adfind.bat для обнаружения структуры активного каталога целевой организации. Злоумышленники собрали сетевую информацию о хостах, запустив пакетный сценарий ns.bat, который выполнял nslookup для каждого хоста в окружении.
Затем процесс Cobalt Strike получил доступ к памяти LSASS для извлечения учетных данных, которые через несколько минут были проверены для запуска удаленных задач обнаружения WMI на сервере. Убедившись, что учетные данные работают с действиями WMI, злоумышленник перешел по RDP на этот сервер и попытался сбросить и выполнить DLL-маяк Cobalt Strike. Это оказалось неудачным, поэтому злоумышленник открыл cmd и выполнил PowerShell Cobalt Strike Beacon. Этот маяк успешно подключился к тому же командно-контрольному серверу, который наблюдался на узле плацдарма.
В течение следующего часа злоумышленник продолжал выполнять RDP-подключения к другим серверам в окружении. Получив представление о структуре домена, подготовился к развертыванию вымогательской программы, скопировав ее (с именем ttsel.exe) на каждый узел через общую папку C$. Они использовали два метода удаленного исполнения для детонации двоичного файла выкупа, WMI и PsExec. Развертывание этой программы-выкупа завершилось менее чем через четыре часа после первоначального выполнения IcedID.
Хотя в записке о выкупе указано, что угроза похитила данные, не обнаружено открытой утечки данных; однако не исключено, что угроза использовала IcedID или Cobalt Strike для передачи конфиденциальных данных.
Indicators of Compromise
IPv4
- 138.68.42.130
- 157.245.142.66
- 188.166.154.118
- 185.203.118.227
Domains
- dilimoretast.com
- antnosience.com
- oceriesfornot.top
- arelyevennot.top
MD5
- e051009b12b37c7ee16e810c135f1fef
- 4a6ceabb2ce1b486398c254a5503b792
- adf0907a6114c2b55349c08251efdf50
- ebf6f4683d8392add3ef32de1edf29c4
- 49513b3b8809312d34bb09bd9ea3eb46
- e9ad8fae2dd8f9d12e709af20d9aefad
- b1eff4fffe66753e5f4265bc5332f72e
- 350f82de99b8696fea6e189fcd4ca454
SHA1
- 415b27cd03d3d701a202924c26d25410ea0974d7
- 08a1c43bd1c63bbea864133d2923755aa2f74440
- aa25ae2f9dbe514169f4526ef4a61c1feeb1386a
- 444c704afe4ee33d335bbdfae79b58aba077d10d
- db7d1545c3c7e60235700af672c1d20175b380cd
- 445294080bf3f58e9aaa3c9bcf1f346bc9b1eccb
- da2caf36b52d81a0d983407ab143bef8df119b8d
- deea45010006c8bde12a800d73475a5824ca2e6f
SHA256
- 5bc00ad792d4ddac7d8568f98a717caff9d5ef389ed355a15b892cc10ab2887b
- 4a76a28498b7f391cdc2be73124b4225497232540247ca3662abd9ab2210be36
- 3bb2f8c2d2d1c8da2a2051bd9621099689c5cd0a6b12aa8cb5739759e843e5e6
- 2c2513e17a23676495f793584d7165900130ed4e8cccf72d9d20078e27770e04
- 6f6f71fa3a83da86d2aba79c92664d335acb9d581646fa6e30c35e76cf61cbb7
- 84f016ece77ddd7d611ffc0cbb2ce24184aeee3a2fdbb9d44d0837bc533ba238
- b6c11d4a4af4ad4919b1063184ee4fe86a5b4b2b50b53b4e9b9cc282a185afda
- c140ae0ae0d71c2ebaf956c92595560e8883a99a3f347dfab2a886a8fb00d4d3
- b63e94928da25e18caa1506305b9ca3dedc267e747dfa4710860e757d2cc8192
- 1d64879bf7b1c7aea1d3c2c0171b31a329d026dc4e2f1c876d7ec7cae17bbc58
- 511c1021fad76670d6d407139e5fef62b34ca9656fb735bd7d406728568fa280
- faf49653a0f057ed09a75c4dfc01e4d8e6fef203d0102a5947a73db80be0db1d
- 0f3bb820adf6d3bba54988ef40d8188ae48b34b757277e86728bdb8441d01ea2
- 0789a9c0a0d4f3422cb4e9b8e64f1ba92f7b88e2edfd14b7b9a7f5eee5135a4f
- 8d30ab8260760e12a8990866eced1567ced257e0cb2fc9f7d2ea927806435208
- 2c84b5162ef66c154c66fed1d14f348e5e0054dff486a63f0473165fdbee9b2e
- 116e8c1d09627c0330987c36201100da2b93bf27560478be4043c1a834ad8913
- 99a732c0512bc415668cc3a699128618f02bf154ff8641821c3207b999952533
- f72c47948a2cb2cd445135bc65c6bf5c0aaacc262ee9c04d1483781355cda976
- f8136eb39ee8638f9eb1acf49b1e10ce73e96583a885e4376d897ab255b39bd6
- 79e25568a8aeec71d18adc07cdb87602bc2c6048e04daff1eb67e45f94887efc
- d44c065f04fe13bd51ba5469baa9077efb541d849ad298043739e08b7a90008f
- 239d1c7cfd5b244b10c56abbf966f226e6a0cb91800e9c683ba427641e642f10
- 7522b6de340a68881d11aa05e2c6770152e2d49ca5b830821ffce533fad948fd
- 5bc00ad792d4ddac7d8568f98a717caff9d5ef389ed355a15b892cc10ab2887b