Команда Darktrace Threat Research в течение 2023 года обнаружила несколько штаммов вредоносных программ-загрузчиков, которые оказывали влияние на клиентов. Эти вредоносные программы предоставляли субъектам угроз первоначальный доступ к сети организации, способствуя дальнейшим атакам, включая заражение другим вредоносным ПО и атаки с выкупом. Популярность таких угроз подчеркивает важность защиты организаций от многоэтапных компромиссов.
PikaBot Trojan
Одним из примеров, замеченных командой Darktrace в 2023 году, был штамм вредоносного кода-загрузчика Pikabot, который использовался для первоначального доступа и часто сопровождался вторичными компромиссами, такими как Cobalt Strike и Black Basta ransomware. Благодаря своевременному обнаружению Darktrace DETECT™ и поддержке Центра управления безопасностью (SOC) Darktrace, удалось остановить компрометацию Pikabot до того, как она переросла в более разрушительную атаку.
Pikabot является новейшим штаммом модульного загрузчика, активным с начала 2023 года, и в последующие месяцы были замечены изменения в его методологии. Этот штамм имеет много общих черт с вредоносными программами Qakbot и Mantanbuchus и может использоваться для многоступенчатых атак, часто сопровождаемых загрузкой других штаммов вредоносного ПО. Заражение Pikabot часто начинается с вредоносного электронного письма и использует различные методы антианализа для обхода систем безопасности.
Darktrace Threat Research обнаружила многочисленные атаки с использованием Pikabot в период с апреля по июль 2023 года. Атаки были направлены на американские и европейские организации различных отраслей. Затем атаки следовали определенному сценарию, начиная с первоначального доступа через вредоносное письмо и заканчивая дальнейшей активностью на конечных точках Cobalt Strike. В октябре 2023 года была замечена новая кампания, которая использовала cURL для загрузки вредоносной нагрузки, указывая на изменение подхода атаки.
17 октября 2023 года Darktrace обнаружила заражение Pikabot в сети одного из клиентов в Европе. Несмотря на то, что Darktrace не имела видимости над электронной почтой клиента, с помощью DETECT команда смогла обнаружить активность Pikabot на основе использования пользовательского агента cURL и загрузки антианализируемого исполняемого файла. Этот случай подтверждает важность реагирования на заражение Pikabot, чтобы предотвратить эскалацию до серьезной компрометации, такой как атаки с выкупом.
Indicators of Compromise
IPv4
- 103.124.105.147
- 128.140.102.132
- 129.153.135.83
- 129.153.22.231
- 154.12.233.66
- 154.80.229.76
- 162.252.172.253
- 167.88.166.109
- 178.18.246.136
- 185.87.148.132
- 192.121.17.14
- 192.121.17.68
- 192.9.135.73
- 198.44.187.12
- 86.38.225.106
IPv4 Port Combinations
- 185.106.94.174:5000
- 80.85.140.152:5938
Domains
- building4business.net
- wordstt182.com