Black Basta Ransomware 黑客通过 Qakbot 渗透网络以部署 Brute Ratel C4

在最近的攻击中，已经观察到Black Basta 勒索软件系列背后的威胁行为者使用 Qakbot 特洛伊木马部署 Brute Ratel C4 框架作为第二阶段的有效载荷。

网络安全公司趋势科技在上周发布的技术分析中表示，这一发展标志着新生的对手模拟软件首次通过 Qakbot 感染交付。

入侵是使用包含指向 ZIP 档案的武器化链接的网络钓鱼电子邮件实现的，进一步需要使用 Cobalt Strike 进行横向移动。

虽然这些合法实用程序是为进行渗透测试活动而设计的，但它们提供远程访问的能力使它们成为攻击者手中的有利可图的工具，这些攻击者希望在不长时间引起注意的情况下悄悄探测受感染的环境。

上个月，Brute Ratel C4的破解版开始在地下网络犯罪分子中传播，这促使其开发人员更新许可算法以使其更难破解，这使情况更加复杂。

Qakbot，也称为 QBot 和 QuackBot，是一种信息窃取程序和银行木马，自 2007 年以来一直活跃。但其模块化设计和充当下载程序的能力使其成为释放其他恶意软件的有吸引力的候选者。

据趋势科技称，电子邮件中的 ZIP 文件包含一个 ISO 文件，该文件又包含一个 LNK 文件，该文件可获取Qakbot 有效负载，说明部分威胁参与者在微软决定采取默认情况下阻止从 Web 下载的文档的宏。

Qakbot 感染通过检索 Brute Ratel 和 Cobalt Strike 成功，但在通过内置命令行工具（如 arp、ipconfig、nslookup、netstat 和 whoami）执行自动侦察之前没有成功。

然而，在威胁参与者采取任何恶意行动之前，攻击就被阻止了，尽管人们怀疑最终目标可能是在域范围内部署勒索软件。

在网络安全公司发现的另一个 Qakbot 执行链中，ZIP 文件是通过一种称为HTML 走私的日益流行的方法传递的，导致 Brute Ratel C4 作为第二阶段的执行。

研究人员说：“Qakbot 到 Brute Ratel 到 Cobalt Strike 杀伤链与 Black Basta Ransomware 背后的组织有关。” “这是基于在 Black Basta 攻击中观察到的重叠 TTP 和基础设施。”

调查结果与最近几个月通过HTML 文件附件、DLL 侧载和电子邮件线程劫持等各种技术再次出现的 Qakbot 攻击不谋而合，其中最后一项是从针对微软的成功ProxyLogon 攻击中大量收集电子邮件交换服务器。

IcedID 参与者使交付方式多样化

Qakbot 远非唯一的访问即服务恶意软件，它越来越多地通过 ISO 和其他文件格式分发以绕过宏限制，因为Emotet、IcedID和Bumblebee活动都遵循了类似的轨迹。

Palo Alto Networks Unit 42 于 2022 年 9 月下旬表示，它发现了一个恶意的多语言 Microsoft Compiled HTML Help (CHM) 文件，该文件用于传递 IcedID（又名 BokBot）恶意软件。

根据Team Cymru的说法，其他主要的交付方法和感染途径包括使用包含 ISO 文件的受密码保护的 ZIP 文件，镜像 Qakbot 的文件，有效载荷通过称为PrivateLoader的按安装程序付费的服务传播。

而且，最重要的是，Emotet在短暂的三个月中断后似乎已准备好迎接一系列新的攻击，以重新设计其“系统信息”模块，以“改进针对特定受害者的目标并将跟踪机器人与真实用户区分开来”，ESET透露在一系列推文中。

“自 7 月以来，我们还没有看到来自 Emotet 的新垃圾邮件浪潮，”ESET 威胁研究主管 Jean-Ian Boutin 告诉黑客新闻。“目前尚不清楚为什么会这样。”

“他们过去确实休息过，但从来没有那么久。也许这个新模块意味着他们正在测试模块，并且在不久的将来会再次活跃，但这当然是猜测。”

C4都能操作了嘛？