Siber güvenlik araştırmacıları, kötü şöhretli QakBot yükleyicisiyle bağlantılı tehdit aktörleri tarafından geliştirilen yeni bir BackConnect (BC) kötü amaçlı yazılımının ayrıntılarını açıkladı.
Walmart’ın Siber İstihbarat ekibi The Hacker News’e şunları söyledi: “BackConnect, tehdit aktörleri tarafından kalıcılığı korumak ve görevleri gerçekleştirmek için kullanılan ortak bir özellik veya modüldür.” “Kullanılan BackConnect(ler), IcedID BackConnect (KeyHole) ile birlikte ‘DarkVNC’ idi.”
Şirket, BC modülünün, yakın zamanda komuta ve kontrol (C2) iletişimleri için bir Etki Alanı Adı Sistemi (DNS) tüneli içerecek şekilde güncellenen ZLoader adlı başka bir kötü amaçlı yazılım yükleyicisini dağıtırken gözlemlenen altyapıyla aynı altyapıda bulunduğunu belirtti.
QBot ve Pinkslipbot olarak da adlandırılan QakBot, Duck Hunt adlı koordineli bir yasa uygulama çabasının bir parçası olarak altyapısının ele geçirilmesinin ardından 2023 yılında büyük bir operasyonel aksaklık yaşadı. O zamandan bu yana, kötü amaçlı yazılımın yayıldığı ara sıra kampanyalar ortaya çıkarıldı.
Başlangıçta bir bankacılık truva atı olarak tasarlanan bu virüs, daha sonra fidye yazılımı gibi bir hedef sisteme sonraki aşamadaki verileri gönderebilen bir yükleyiciye uyarlandı. QakBot’un IcedID’nin yanı sıra dikkate değer bir özelliği, tehdit aktörlerine ana bilgisayarı proxy olarak kullanma yeteneğinin yanı sıra yerleşik bir VNC bileşeni aracılığıyla uzaktan erişim kanalı sunma yeteneği sunan BC modülüdür.
Walmart’ın analizi, BC modülünün, eski QakBot örneklerine referanslar içermesinin yanı sıra, sistem bilgilerini toplamak için daha da geliştirildiğini ve geliştirildiğini, daha sonra yararlanmayı kolaylaştırmak için az çok özerk bir program görevi gördüğünü ortaya çıkardı.
Walmart, “Bu durumda bahsettiğimiz kötü amaçlı yazılım, bir tehdit aktörünün klavye erişimine el koymasına olanak tanıyan bir araç olarak BackConnect’i kullanan bağımsız bir arka kapıdır” dedi. “Bu ayrım, bu arka kapının sistem bilgilerini toplamasıyla daha da belirginleşiyor.”
BC kötü amaçlı yazılımı aynı zamanda Sophos tarafından bağımsız bir analize de konu oldu; bu analiz, eserleri STAC5777 olarak takip ettiği bir tehdit kümesine atfediyor ve bu da Black Basta için Hızlı Yardım’ı kötüye kullandığı bilinen bir siber suç grubu olan Storm-1811 ile örtüşüyor. teknik destek personeli gibi görünerek fidye yazılımı dağıtımı.
İngiliz siber güvenlik şirketi, hem STAC5777 hem de STAC5143’ün (FIN7 ile olası bağları olan bir tehdit grubu) e-posta bombardımanına başvurduğunu ve Microsoft Teams’in olası hedeflere yöneldiğini ve saldırganlara Hızlı Yardım veya Teams’in yerleşik yazılımı aracılığıyla bilgisayarlarına uzaktan erişim izni vermeleri için onları kandırdığını belirtti. -Python arka kapılarını ve Black Basta fidye yazılımını yüklemek için ekran paylaşımı.
Sophos, “Her iki tehdit aktörü de saldırılarının bir parçası olarak kendi Microsoft Office 365 hizmet kiracılarını çalıştırdı ve harici etki alanlarındaki kullanıcıların dahili kullanıcılarla sohbet veya toplantı başlatmasına izin veren varsayılan Microsoft Teams yapılandırmasından yararlandı” dedi.
Black Basta operatörlerinin fidye yazılımını dağıtmak için daha önce QakBot’a güvenmesi nedeniyle yeni bir BC modülünün ortaya çıkışı, Black Basta’nın son aylarda ZLoader’ı da dağıttığı gerçeğiyle birleştiğinde, geliştiricilerin arkasındaki geliştiricilerin görev yaptığı, birbirine oldukça bağlı bir siber suç ekosisteminin resmini çiziyor. Walmart, QakBot’un muhtemelen Black Basta ekibini yeni araçlarla destekleyeceğini söyledi.