Quantum Software/Quantum Builder IOCs

Cyble Research Labs постоянно отслеживает возникающие угрозы и механизмы их доставки. Наблюдаеся всплеск использования .lnk-файлов различными семействами вредоносных программ.

Среди распространенных семейств вредоносных программ, использующих файлы .lnk для доставки полезной нагрузки, в последнее время можно назвать следующие:

Кроме того, Cyble Research Labs наблюдали множество случаев APT, когда исполнители угроз (TA) использовали .lnk-файлы для первоначального выполнения и доставки полезной нагрузки.

Файлы .lnk - это файлы ярлыков, которые ссылаются на другие файлы, папки или приложения для их открытия. TAs использует файлы .lnk и сбрасывает вредоносную полезную нагрузку с помощью LOLBins. LOLBins (Living off the Land Binaries) - это двоичные файлы, встроенные в операционные системы, такие как PowerShell и mshta. TA могут использовать эти типы двоичных файлов, чтобы обойти механизмы обнаружения, поскольку эти двоичные файлы доверяются операционным системам.

В ходе деятельности по OSINT (Open Source Intelligence), Cyble Research Labs наткнулась на новый. lnk builder под названием "Quantum Software/Quantum Builder".

Quantum Software/Quantum Builder

Quantum Builder может подделать любое расширение и имеет более 300 различных иконок для вредоносных .lnk файлов.

Полезную нагрузку .hta можно создать с помощью Quantum Builder, настроив такие параметры, как URL-адрес полезной нагрузки, поддержка DLL, обход UAC, путь выполнения и временная задержка для выполнения полезной нагрузки и т.д. Билдер вставляет сгенерированную полезную нагрузку .hta и создает новый .lnk-файл и предоставляет различные значки в качестве опции при создании .lnk файла.

В конце этого процесса с помощью конструктора .iso создается образ .iso, содержащий файл .lnk для дальнейшей доставки по электронной почте и выполнения.

Исследованный образец, подключается к домену с именем "quantum-software.online"; этот же домен использовался компанией quantum TA.

Этот образец представляет собой файл Windows Shortcut (.LNK). По умолчанию Windows скрывает расширение .lnk, поэтому если файл назван как file_name.txt.lnk, то только file_name.txt будет виден пользователю, даже если включена опция show file extension. По таким причинам это может быть привлекательным вариантом для TA, использующих файлы .lnk в качестве маскировки или дымовой завесы.

После выполнения файл .Ink запускает вредоносный код PowerShell, который исполняет файл .hta, размещенный на удаленном сайте с помощью mshta.

В этом сценарии используется функция, которая деобфусцирует вредоносный сценарий PowerShell. Функция выполняет математическую операцию, которая преобразует числовое значение в символы. На рисунке ниже показаны деобфусцированные данные.

Indicators of Compromise

Domains

  • quantum-software.online

URLs

  • https://quantum-software.online/remote/bdg.hta

MD5

  • 04e8a5c6e5797b0f436ca36452170a2f
  • 52b0b06ab4cf6c6b1a13d8eec2705e3b

SHA1

  • 924be824edb54f917d52e43a551c0eb2848cad8f
  • dfdde88da020e584038d2656d0e3d48cfae27b1a

SHA256

  • 2f6c1def83936139425edfd611a5a1fbaa78dfd3997efec039f9fd3338360d25
  • b9899082824f1273e53cbf1d455f3608489388672d20b407338ffeecefc248f1
SEC-1275-1
Добавить комментарий