BlackBasta勒索软件利用QakBot进行分发

自2022年4月开始运行以来，BlackBasta已对全球近50个组织发起了攻击。攻击者使用“双重勒索”策略，如果受害者不支付赎金，数据就会被泄露。勒索团伙将不断改进攻击手段。近日，研究人员发现BlackBasta与银行木马QakBot勾结，利用QakBot作为跳板入口。它还添加了使用PrintNightmare漏洞(CVE-2021-34527)来执行特权操作。被攻陷主机检测文件时间线被攻陷主机感染QakBot后部署BlackBasta勒索软件，如下图所示。QakBot还是多个勒索软件家族的“先驱”，分发MegaCortex、PwndLockerm、Egregor、ProLock和REvil。QakBot于2007年首次被发现，以其攻击性而闻名，现在采用“恶意软件即服务”。QakBot也变得越来越复杂，随着新的Microsoft零日漏洞Follina(CVE-2022-30190)的披露即将被纳入武器库。QakBot的感染链QakBot的感染链QakBot是使用包含带有Excel4.0宏的Excel文件的鱼叉式邮件消息进行分发的。这些电子邮件诱使收件人启用宏代码，从而下载并执行QakBotDLL文件。从Trick-EnableMacrocode下载URL下载的QakBotDLL文件被放到特定的文件路径并通过regsvr-32.exe执行。drop文件QakBotDLL文件使用explorer.exe进行进程注入。进程注入后，会创建一个cron作业来维持恶意软件在受感染系统上的持久性。在系统上安装QakBot后，计划任务会继续下载并删除感染链中的其他组件，例如Cobeacon后门。研究人员观察到Cobeacon使用多层混淆执行无文件PowerShell脚本。第一级混淆是base64编码的PowerShell命令第二级混淆加载并读取内存中的压缩文件第三级混淆解码base64编码的shellcodeshellcode反汇编已安装的Cobeacon的Base64编码的shellcode构建并命名用于通讯如下。一旦从目标系统收集到信息，就通过管道取出数据。如果受害者不支付赎金，BlackBasta勒索软件组织就会在其泄密网站上发布被盗数据。PrintNightmare对用于C&C通信的命名管道的新利用在对BlackBasta的受损系统进行进一步分析后，研究人员发现了勒索软件组织利用PrintNightmare漏洞的证据。利用此漏洞，BlackBasta可以滥用WindowsPrintSpoolerService或spoolsv.exe来释放其负载并通过spider.dll执行特权文件操作。攻击者还利用该漏洞在受感染主机上执行了另一个文件，但该文件并未被保留。此外，研究人员发现勒索软件攻击者使用了Coroxy后门。攻击者将Coroxy与Netcat结合使用来完成横向翻译。一旦攻击者在网络中获得广泛的立足点，他们就会执行BlackBasta勒索软件感染。IOC24.178.196.44:222237.186.54.185:99539.44.144.182:99545.63.1.88:44346.176.222.241:99547.23.89.126:99572.12.115.15:2272.76.94.52:44372.252.157.37:99572.252.157.212:99073.67.152.122:222275.99.168.46:61201103.246.242.230:443113.89.5.177:995148.0.57.82:443167.86.165.191:443173.174.216.185:443180.129.20.53:995190.252.242.214:443217.128.122.16:2222elblogdeloscachanillas.com.mx/S3sY8RQ10/Ophn.pnglalualex.com/ApUUBp1ccd/Ophn.pnglizety.com/mJYvpo2xhx/Ophn.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