Black Basta fidye yazılımı saldırılarıyla bağlantılı bir tehdit aktörü, kötü şöhrete sahip olana benzer yeni bir yükleyici kullanıyor. öldürülmesi zor Qakbot, daha fazla kötü amaçlı faaliyet için organizasyon ağlarına girmeyi amaçlayan yaygın bir kimlik avı kampanyasında.
Araştırmacılar, Trend Micro tarafından Water Curupira olarak takip edilen aktörün, en sonunda Black Basta fidye yazılımı saldırılarına yol açan Cobalt Strike gibi arka kapıları açmak için tehlikeli kampanyalar yürütmesiyle tanındığını söyledi. 9 Ocak’ta yayınlanan bir gönderi.
Trend Micro’ya göre Water Curupira, 2023’ün ilk çeyreğinde aktifti, ardından haziran ayının sonunda, kampanyaların yeniden ciddi bir şekilde başladığı Eylül ayının başına kadar süren bir ara verdi. Son zamanlarda aktör, yeni bir yükleyici olan Pikabot’u düşüren kimlik avı kampanyaları düzenledi; bu yükleyici, Qakbot ile benzerlikler taşıyor ve hatta Qakbot’un yerini alabilecek bir ilk erişim Truva atı. sıklıkla önce gelir Black Basta fidye yazılımı, kolluk kuvvetlerinin düzenlediği bir operasyonla etkisiz hale getirildi. Ördek Avı Operasyonu Ağustos 2023’te.
“Pikabot ile ilgili kimlik avı kampanyalarının sayısında 2023’ün son çeyreğinde bir artış kaydedildi; bu da Pikabot’un yayından kaldırılmasıyla aynı zamana denk geliyor. Qakbot“, Trend Micro araştırmacılarına atfedilen gönderiye göre.
Water Curupira’nın ayrıca 2023’ün üçüncü çeyreğinin ilk haftalarında birkaç DarkGate spam ve IcedID kampanyası yürüttüğü ancak o zamandan beri yalnızca Pikabot’a yöneldiği söylendi.
Qakbot ısrar etti Kötü amaçlı yazılımın yaklaşık 700.000 virüs bulaşmış makinede hizmet dışı kalmasına neden olan, kaldırıldıktan sonra bile bir tehdit olarak kaldı. Ancak aynı dosya içinde hem yükleyici hem de çekirdek modülün yanı sıra kaynaklarından DLL dosyası biçimindeki bir yükün şifresini çözen bir kabuk kodunu içeren Pikabot da benzer bir misyonla Water Curupira’nın kampanyalarında ortaya çıktı.
Şimdiye kadar araştırmacılar, 70’ten fazla komuta ve kontrol (C2) alanına sahip farklı Kobalt Saldırısı işaret ışıkları kümelerini gözlemlediler. Yeterince Siyah Su Curupira kampanyaları nedeniyle düşürüldüğünü söylediler.
Meşruiyet için Konu Çalma
Water Curupira’nın Pikabot kampanyaları, önceki bir konuşmanın parçası gibi görünen e-postalar oluşturmak için mevcut e-posta dizilerini (muhtemelen önceki kurbanlardan çalınmış) kullanan bir teknik olan thread-jacking’i kullanan kimlik avı e-postalarıyla başlıyor. Bu, mağdurun e-postanın meşru olduğunu düşünmesi ve tehdit aktörüyle etkileşime geçme olasılığını artırır.
Kampanya, e-postaları, yeni alan adları veya ele geçirilen orijinal e-posta dizilerinde bulunabilecek adları kullanan ücretsiz e-posta hizmetleri aracılığıyla oluşturulan adresleri kullanarak gönderiyor. Mesaj, e-posta konusu da dahil olmak üzere orijinal ileti dizisinin içeriğinin çoğunu içeriyor, ancak aynı zamanda alıcıyı kötü amaçlı bir e-posta ekini açmaya yönlendiren kısa bir mesaj da ekliyor.
Ek, bir .IMG dosyası içeren parola korumalı bir arşiv .ZIP dosyasıdır ya da oldukça karmaşık bir JavaScript içeren bir .PDF dosyasıdır ve dosyanın parolası e-posta iletisine dahil edilmiştir. Araştırmacılar, aktörün kampanyada gözlemlenen dosya ekleri için çeşitli adlar ve şifreler kullandığını belirtti.
Kurban tarafından yürütüldükten sonra JavaScript, Pikabot’un harici bir sunucudan indirilmesine ve ardından kötü amaçlı yazılımın yürütülmesine ulaşmak için koşullu yürütmeyi kullanarak bir dizi komutu yürütmeye çalışacak.
Kötü amaçlı ek bir .IMG dosyasıysa, iki ek dosya daha içerir: Word belgesi gibi görünen bir .LNK dosyası ve DLL dosyası; ikincisi doğrudan e-posta ekinden çıkarılan Pikabot yüküdür.
Yükün kendisine gelince, Pikabot ana dil olarak Rusça veya Ukraynaca kullanıldığını tespit ederse sisteme saldırmayacak, bu da Water Curupira’nın bu ülkelerden biriyle veya her ikisiyle uyumlu olabileceğini düşündürüyor. Çekirdek modülü, virüslü sistemle ilgili çeşitli ayrıntıları sızdıran çok aşamalı bir saldırı gerçekleştiriyor ve onlara aktör tarafından kontrol edilen bir C2 gönderiyor; bu C2 daha sonra daha fazla kötü amaçlı etkinlik gerçekleştirmek için sisteme erişebiliyor.
Pikabot Kötü Amaçlı Yazılım Tehlikesinden Kaçınma
Trend Micro, gönderiye güvenlik ihlali göstergelerinin (IoC’ler) bir listesini ekledi ve tüm kullanıcıların, e-posta alırken dikkatli olmaları ve e-postaların kurbanı olmamak için en iyi uygulamaları kullanmaları tavsiyesinde bulundu. e-dolandırıcılıkBu, tehdit aktörlerinin kurumsal sistemlere ilk girişini sağlamanın önemli bir yolu olmaya devam ediyor.
Bu uygulamalar, bağlantının nereye gittiğini öğrenmek için işaretçiyi gömülü bağlantıların üzerine getirmeyi, gönderenin kimliğini kontrol etmeyi, bilinmeyen e-posta adreslerini, eşleşmeyen e-posta ve gönderen adlarını ve sahte şirket e-postalarını olası kötü amaçlı olarak işaretlediğinizden emin olmayı içermelidir.
E-postanın meşru bir şirketten geldiği iddia ediliyorsa, alıcıların ekleri indirmeden veya gömülü bağlantıları seçmeden önce hem göndereni hem de e-posta içeriğini doğrulaması gerekir. Araştırmacılar ayrıca işletim sistemlerini ve diğer yazılımları en son yamalarla güncel tutmak için temel güvenlik hijyeninin yanı sıra önemli verileri harici, güvenli bir konumda saklamak için düzenli yedeklemeler de önerdi.