日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
BlackBasta勒索軟件利用QakBot進(jìn)行分發(fā)

自 2022 年 4 月投入運營以來,Black Basta 對全球近 50 家組織發(fā)起了攻擊。攻擊者使用了“雙重勒索”策略,如果受害者不交付贖金就會被公開數(shù)據(jù)。

勒索團(tuán)伙會不斷改進(jìn)攻擊方式,最近研究人員發(fā)現(xiàn) Black Basta 與銀行木馬 QakBot 勾結(jié)在一起,利用 QakBot 作為跳板入口。并且還新增利用 PrintNightmare 漏洞(CVE-2021-34527)執(zhí)行特權(quán)操作。

失陷主機檢測文件時間線

失陷主機感染了 QakBot 之后又部署了 Black Basta 勒索軟件,如下所示。QakBot 也多個勒索軟件家族的“探路先鋒”,分發(fā)過 MegaCortex、PwndLockerm、Egregor、ProLock 和 REvil。最早 QakBot 在 2007 年被發(fā)現(xiàn),以攻擊性強而聞名,現(xiàn)在也擁抱“惡意軟件即服務(wù)”。QakBot 也變得越來越復(fù)雜,新微軟零日漏洞 Follina(CVE-2022-30190)披露不久就被納入武器庫中。

QakBot 的感染鏈

QakBot 感染鏈

QakBot 使用魚叉郵件進(jìn)行分發(fā),其中包含帶有 Excel 4.0 宏的 Excel 文件。這些電子郵件會誘使收件人啟用宏代碼,宏代碼會下載并執(zhí)行 QakBot DLL 文件。

誘使啟用宏代碼

下載 URL

下載的 QakBot DLL 文件被放置到特定的文件路徑,并通過 regsvr-32.exe 執(zhí)行。

釋放文件

QakBot DLL 文件使用 explorer.exe 執(zhí)行進(jìn)程注入。

進(jìn)程注入

之后會創(chuàng)建一個計劃任務(wù)來維持惡意軟件在受感染系統(tǒng)中的持久化。

計劃任務(wù)

一旦 QakBot 安裝到系統(tǒng)中,就會繼續(xù)下載并釋放感染鏈中的其他組件,例如 Cobeacon 后門。研究人員已經(jīng)觀察到 Cobeacon 使用多層混淆的無文件 PowerShell 腳本執(zhí)行。

第一層混淆為 base64 編碼的 PowerShell 命令

第二層混淆在內(nèi)存中加載并讀取壓縮文件

第三層混淆解碼 base64 編碼的 shellcode

shellcode 的反匯編代碼

已安裝的 Cobeacon 的 Base64 編碼的 shellcode 會建立并命名一個用于通信的管道,如下所示。一旦從目標(biāo)系統(tǒng)收集到信息,通過該管道進(jìn)行數(shù)據(jù)外帶。如果受害者不支付贖金,Black Basta 勒索軟件組織會在其泄密網(wǎng)站上發(fā)布竊密數(shù)據(jù)。

用于 C&C 通信的命名管道

新增漏洞利用 PrintNightmare

在對 Black Basta 攻陷的系統(tǒng)進(jìn)行進(jìn)一步分析后,研究人員發(fā)現(xiàn)了該勒索軟件組織利用 PrintNightmare 漏洞的證據(jù)。利用此漏洞,Black Basta 就可以濫用 Windows Print Spooler Service 或 spoolsv.exe 來釋放其 Payload、通過 spider.dll 執(zhí)行特權(quán)文件操作。攻擊者還利用該漏洞在失陷主機中執(zhí)行了另一個文件,但該文件未能保留下來。

此外,研究人員發(fā)現(xiàn)勒索軟件攻擊者使用了 Coroxy 后門。攻擊者使用 Coroxy 與 Netcat 一起完成橫向平移。一旦攻擊者在網(wǎng)絡(luò)中獲得廣泛的立足點,就會執(zhí)行 Black Basta 勒索軟件進(jìn)行感染。

IOC

24.178.196.44:2222

37.186.54.185:995

39.44.144.182:995

45.63.1.88:443

46.176.222.241:995

47.23.89.126:995

72.12.115.15:22

72.76.94.52:443

72.252.157.37:995

72.252.157.212:990

73.67.152.122:2222

75.99.168.46:61201

103.246.242.230:443

113.89.5.177:995

148.0.57.82:443

167.86.165.191:443

173.174.216.185:443

180.129.20.53:995

190.252.242.214:443

217.128.122.16:2222

elblogdeloscachanillas.com.mx/S3sY8RQ10/Ophn.png

lalualex.com/ApUUBp1ccd/Ophn.png

lizety.com/mJYvpo2xhx/Ophn.png

01fafd51bb42f032b08b1c30130b963843fea0493500e871d6a6a87e555c7bac

72a48f8592d89eb53a18821a54fd791298fcc0b3fc6bf9397fd71498527e7c0e

580ce8b7f5a373d5d7fbfbfef5204d18b8f9407b0c2cbf3bcae808f4d642076a

130af6a91aa9ecbf70456a0bee87f947bf4ddc2d2775459e3feac563007e1aed

c7eb0facf612dbf76f5e3fe665fe0c4bfed48d94edc872952a065139720e3166

ffa7f0e7a2bb0edf4b7785b99aa39c96d1fe891eb6f89a65d76a57ff04ef17ab

2083e4c80ade0ac39365365d55b243dbac2a1b5c3a700aad383c110db073f2d9

1e7174f3d815c12562c5c1978af6abbf2d81df16a8724d2a1cf596065f3f15a2

2d906ed670b24ebc3f6c54e7be5a32096058388886737b1541d793ff5d134ccb

72fde47d3895b134784b19d664897b36ea6b9b8e19a602a0aaff5183c4ec7d24

2e890fd02c3e0d85d69c698853494c1bab381c38d5272baa2a3c2bc0387684c1

c9df12fbfcae3ac0894c1234e376945bc8268acdc20de72c8dd16bf1fab6bb70

8882186bace198be59147bcabae6643d2a7a490ad08298a4428a8e64e24907ad

0e2b951ae07183c44416ff6fa8d7b8924348701efa75dd3cb14c708537471d27

0d3af630c03350935a902d0cce4dc64c5cfff8012b2ffc2f4ce5040fdec524ed

df35b45ed34eaca32cda6089acbfe638d2d1a3593d74019b6717afed90dbd5f8

3fe73707c2042fefe56d0f277a3c91b5c943393cf42c2a4c683867d6866116fc

433e572e880c40c7b73f9b4befbe81a5dca1185ba2b2c58b59a5a10a501d4236

c4683097a2615252eeddab06c54872efb14c2ee2da8997b1c73844e582081a79


網(wǎng)頁題目:BlackBasta勒索軟件利用QakBot進(jìn)行分發(fā)
本文來源:http://www.5511xx.com/article/dhhposo.html