Qbot: новые методы и блоки атак
Новая версия вредоносного ПО Qbot теперь активирует свой механизм сохранения непосредственно перед выключением зараженных устройств Windows и автоматически удаляет все следы при перезагрузке системы или выходе из спящего режима.
Qbot (также известный как Qakbot, Quakbot и Pinkslipbot) - это банковский троян для Windows с функциями червя, активными по крайней мере с 2009 года и используемыми для кражи банковских учетных данных, личной информации и финансовых данных.
Вредоносная программа также использовалась для регистрации нажатий клавиш пользователем, для установки бэкдоров на взломанных компьютерах и для развертывания маяков Cobalt Strike, используемых операторами программ-вымогателей для доставки полезных нагрузок программ-вымогателей ProLock и Egregor.
В недавних кампаниях жертвы Qbot были заражены с помощью фишинговых писем с вложениями документов Excel, выдаваемых за документы DocuSign.
Начиная с 24 ноября, когда исследователь угроз Binary Defense Джеймс Куинн сообщил, что была обнаружена новая версия Qbot, вредоносная программа использует более новый и скрытый механизм сохранения, который использует сообщения о завершении работы системы и возобновлении работы для переключения сохраняемости на зараженных устройствах.
«В то время как в первоначальных отчетах других исследователей говорилось, что в новой версии Qakbot был удален механизм сохранения ключа Run, он вместо этого был добавлен к более скрытому и интересному механизму сохранения, который прослушивает сообщения о завершении работы системы, а также PowerBroadcast Suspend / Resume сообщения ", - объясняет Куинн.
Троян добавит в реестр раздел Run в зараженных системах, который позволяет ему автоматически запускаться при входе в систему, и будет пытаться немедленно удалить его, как только пользователь включит питание или выйдет из спящего режима компьютер, чтобы избежать обнаружения антивирусными решениями или средствами безопасности.
Что делает эту технику незаметной, так это идеальное время, используемое разработчиками Qbot для внедрения ключа в реестр Windows.
Вредоносная программа только добавит ключ запуска перед тем, как система перейдет в спящий режим или выключится, но сделает это настолько близко к тому, что «продукты безопасности не смогут обнаружить новый ключ запуска и сообщить о нем».
Затем Qbot попытается удалить ключ сохранения несколько раз после того, как он снова запустится при пробуждении системы или входе в систему.
Хотя этот метод обеспечения устойчивости является новым для Qbot, другие вредоносные программы использовали аналогичные методы для уклонения от обнаружения в прошлом, в том числе банковские трояны Gozi и Dridex.
"Похоже, что два семейства вредоносных программ имеют схожий механизм в том смысле, что оба они прослушивают сообщения WM_QUERYENDSESSION и WM_ENDSESSION, чтобы определить, когда пользователь выходит из системы, но новая версия Qakbot идет дальше, также ища события питания, такие как WM_POWERBROADCAST и PBT_APMSUSPEND для установки своих перехватчиков, когда система также приостановлена »
Изменения в установке и конфигурации
Методика установки Qbot также была обновлена в этой новой версии, поскольку она использует новую архитектуру DLL, которая объединяет загрузчик вредоносных программ и бота в одной DLL.
Ранее загрузчик избегал обнаружения автоматизированными системами «песочницы» вредоносных программ, сохраняя весь вредоносный код в отдельном компоненте DllRegisterServer и вызывая его только через regsvr32.exe или rundll32.exe при использовании определенных аргументов командной строки.
Новая версия упрощает эту технику, удаляя аргументы командной строки из процесса и переключая внедрение кода бота во вновь созданные процессы.
«Удаление переключателей командной строки и проверок анализа посредством создания нового процесса (при сохранении многих проверок антианализа и песочницы), механизм установки нового загрузчика происходит только после того, как бот был внедрен в explorer.exe»
https://www.bleepingcomputer.com/news/security/qbot-malware-switched-to-stealthy-new-windows-autostart-method/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
По мере увеличения размера и частоты кампаний QBot исследователи ищут способы разорвать цепочку распространения трояна и устранить угрозу.
За последние несколько лет Qbot (Qakbot или QuakBot) превратился в широко распространенное вредоносное ПО для Windows, которое позволяет злоумышленникам красть банковские учетные данные и учетные данные домена Windows, распространяться на другие компьютеры и предоставлять удаленный доступ кибергруппам вымогателей.
Жертвы обычно заражаются Qbot через другое вредоносное ПО или через фишинговые кампании с использованием различных приманок, включая поддельные счета, платежную и банковскую информацию, отсканированные документы или счета.
Кибергруппы программ-вымогателей, которые, как известно, использовали Qbot для взлома корпоративных сетей, включают штаммы REvil, Egregor, ProLock, PwndLocker и MegaCortex.
В связи с этим понимание того, как злоумышленники проникают и перемещаются в скомпрометированной среде Qbot, имеет решающее значение для помощи защитникам в остановке злоумышленников до того, как они смогут начать разрушительные атаки.
Строительные блоки
В новом отчете Microsoft разбивает цепочку атак QBot на отдельные «строительные блоки», которые могут различаться в зависимости от оператора, использующего вредоносное ПО, и типа атаки, которую он проводит.
Чтобы проиллюстрировать цепочку атак, Microsoft использовала детали Lego разного цвета, каждая из которых представляет собой этап атаки.
«Однако, основываясь на нашем анализе, можно разбить инцидент, связанный с Qakbot, на набор отдельных« строительных блоков », которые могут помочь аналитикам безопасности выявлять кампании Qakbot и реагировать на них», - объясняет исследование Microsoft.
«На рисунке 1 ниже представлены эти строительные блоки. По нашим наблюдениям, каждая цепочка атак Qakbot может иметь только один блок каждого цвета. Первая строка и макроблок представляют механизм электронной почты, используемый для доставки Qakbot».
Эти различные цепочки атак являются либо результатом целенаправленного подхода, либо попыткой добиться успеха в одной точке проникновения путем одновременного тестирования нескольких каналов атаки.
Даже если посмотреть на три устройства, нацеленных на одну и ту же кампанию, злоумышленники могут использовать три разные цепочки атак.
Например, устройство A в конечном итоге подвергается атаке программы-вымогателя, в то время как устройство B используется для бокового перемещения, а устройство C используется для кражи учетных данных.
Использование разных цепочек присоединения в одной атаке подчеркивает важность анализа всех доказательств в расследованиях после атаки, поскольку невозможно сделать безопасных выводов, просматривая образцы журналов или то, что произошло на одном устройстве.
Атаки Qbot начинаются с электронного письма
Что бы ни случилось на более поздних этапах, важно подчеркнуть, что угроза QBot начинается с прибытия электронного письма, содержащего вредоносные ссылки, вложения или встроенные изображения.
Сообщения обычно короткие, содержащие призыв к действию, которые игнорируются решениями по обеспечению безопасности электронной почты.
Использование встроенных ссылок - самый слабый подход, поскольку во многих URL-адресах отсутствует протокол HTTP или HTTPS, что делает их недоступными для большинства почтовых клиентов. Кроме того, использование неактивных URL-адресов может обойти решения для защиты электронной почты, поскольку они не являются HTML-ссылкой.
Однако получатели вряд ли скопируют и вставят эти URL-адреса на новую вкладку, поэтому вероятность успеха снизится.
Однако их шансы значительно возрастают, когда актеры перехватывают цепочки писем, чтобы создать поддельный ответ.
Недавно мы видели, как этот тип внутренней атаки по цепочке ответов успешно работает против IKEA, и решениям по обеспечению безопасности особенно сложно отследить и остановить ее.
В случае вредоносных вложений атаки снова оказываются слабыми, поскольку большинство продуктов безопасности помечают вложения ZIP как потенциально вредоносные.
Последнее дополнение в репертуаре доставки QBot - это встроенные изображения в тело письма, которые содержат вредоносные URL-адреса.
Опять же, это еще один способ избежать обнаружения средствами защиты контента, поскольку изображение представляет собой снимок экрана с текстом, побуждающим получателя ввести ссылку самостоятельно.
Это приводит к загрузке файла Excel, который содержит вредоносные макросы, которые в конечном итоге загружают QBot на машину.
Более поздние строительные блоки
После доставки электронного письма цепочки атак Qbot используют следующие строительные блоки:
Включение макросов - каждая кампания Qbot, отправляемая по электронной почте, использует вредоносные макросы для доставки полезной нагрузки Qbot.
Доставка Qakbot - Qbot обычно загружается как исполняемый файл с расширением htm или .dat, а затем переименовывается в несуществующие расширения файлов, такие как .waGic или .wac.
Внедрение процесса для открытия - полезные данные Qbot затем внедряются в виде DLL в другие процессы, чаще всего в MSRA.exe и Mobsync.exe.
Запланированные задачи - Создает запланированную задачу, чтобы Qbot запускался каждый раз при перезапуске Windows и входе пользователя в устройство.
Кража учетных данных и данных браузера - украсть учетные данные из диспетчера учетных данных Windows и историю браузера, пароли и файлы cookie из установленных веб-браузеров.
Кража электронной почты - украсть электронную почту с зараженных устройств, которую злоумышленники используют в других фишинговых атаках с цепочкой ответов на сотрудников и деловых партнеров.
Дополнительные полезные нагрузки, боковое перемещение и программы-вымогатели - этот блок в цепочке атак предназначен для различных вредоносных действий и полезных нагрузок, включая развертывание маяков Cobalt Strike, распространение в сети и развертывание программ-вымогателей.
Распространение QBot снова начало расти в ноябре 2021 года, и этому способствовало появление атак Squirrelwaffle.
Поскольку заражение QBot может привести к различным опасным и разрушительным атакам, все администраторы должны быть хорошо знакомы с вредоносным ПО и с тактиками, которые оно использует для распространения по сети.
Поскольку все заражения начинаются с электронной почты, крайне важно сосредоточить на нем свою бдительность, избегать нажатия на неизвестные URL-адреса или включения макросов, а также обучить сотрудников навыкам фишинга.
https://www.bleepingcomputer.com/news/security/microsoft-these-are-the-building-blocks-of-qbot-malware-attacks/
Широко распространенное вредоносное ПО, известное как Qbot (также известное как Qakbot или QuakBot), недавно вернулось к атакам "со скоростью света", и, по словам аналитиков, для кражи конфиденциальных данных после первоначального заражения требуется всего около 30 минут.
Согласно новому отчету DFIR, Qbot наносил эти быстрые удары по сбору данных еще в октябре 2021 года, и теперь кажется, что стоящие за ним злоумышленники вернулись к аналогичной тактике.
В частности, аналитики сообщают, что злоумышленникам требуется полчаса, чтобы украсть данные браузера и электронные письма из Outlook, и 50 минут, прежде чем они перейдут на соседнюю рабочую станцию.
Хронология атаки
Как показано на следующей диаграмме, Qbot быстро выполняет повышение привилегий сразу после заражения, в то время как полноценное разведывательное сканирование выполняется в течение десяти минут.
Первоначальный доступ обычно осуществляется через документ Excel (XLS), в котором используется макрос для сброса загрузчика DLL на целевой компьютер.
Затем эта полезная нагрузка выполняется для создания запланированной задачи через процесс msra.exe и повышает себя до системных привилегий.
Кроме того, вредоносная программа добавляет DLL Qbot в список исключений Microsoft Defender, поэтому она не будет обнаружена при внедрении в msra.exe.
Вредоносная программа крадет электронные письма через полчаса после первоначального запуска, которые затем используются для фишинговых атак с повторной цепочкой и для продажи другим злоумышленникам.
Qbot крадет учетные данные Windows из памяти с помощью инъекций LSASS (Local Security Authority Server Service) и из веб-браузеров. Они используются для бокового перемещения к другим устройствам в сети, которое инициируется в среднем через пятьдесят минут после первого выполнения.
Qbot перемещается ко всем рабочим станциям в сканируемой среде, копируя DLL на следующую цель и удаленно создавая службу для ее выполнения.
В то же время предыдущая инфекция очищается, поэтому машина, учетные данные которой только что были удалены, вылечена и выглядит нормально.
Кроме того, сервисы, созданные на новых рабочих станциях, имеют параметр DeleteFlag, что приводит к их удалению при перезагрузке системы.
Боковое перемещение происходит быстро, поэтому при отсутствии сегментации сети для защиты рабочих станций ситуация становится очень сложной для групп защиты.
Кроме того, злоумышленники Qbot часто используют некоторые из скомпрометированных систем в качестве прокси-точек первого уровня для удобной маскировки и ротации адресов, а также используют несколько портов для связи SSL с сервером C2.
Последствия этих быстрых атак не ограничиваются потерей данных, так как было также замечено, что Qbot сбрасывает полезную нагрузку программ-вымогателей в скомпрометированные корпоративные сети.
В отчете Microsoft от декабря 2021 года отражена универсальность атак Qbot, что затрудняет точную оценку масштабов его заражений.
Однако независимо от того, как именно происходит заражение Qbot, важно помнить, что почти все начинаются с электронной почты, поэтому это основная точка доступа, которую организациям необходимо укрепить.
Сегодняшнее объявление Microsoft о том, что они будут блокировать макросы в загруженных документах по умолчанию, удалив кнопки «Включить содержимое» и «Включить редактирование», будет иметь большое значение для защиты пользователей от фишинговых атак Qbot.
https://www.bleepingcomputer.com/news/security/qbot-needs-only-30-minutes-to-steal-your-credentials-emails/
В настоящее время ботнет Qbot распространяет вредоносное ПО через фишинговые электронные письма с защищенными паролем вложениями ZIP-архива, содержащими вредоносные пакеты установщика Windows MSI.
Это первый раз, когда операторы Qbot используют эту тактику, отказываясь от своего стандартного способа доставки вредоносного ПО через фишинговые электронные письма, сбрасывая документы Microsoft Office с вредоносными макросами на устройства целей.
Исследователи безопасности подозревают, что этот шаг может быть прямой реакцией на то, что Microsoft объявила о планах прекратить доставку вредоносных программ с помощью макросов VBA Office в феврале после отключения макросов Excel 4.0 (XLM) по умолчанию в январе.
Microsoft начала развертывание функции автоматической блокировки макросов VBA для пользователей Office для Windows в начале апреля 2022 года, начиная с версии 2203 в текущем канале (предварительная версия) и позже для других каналов выпуска и более ранних версий.
«Несмотря на различные методы электронной почты, которые злоумышленники используют для доставки Qakbot, эти кампании имеют общую черту — использование вредоносных макросов в документах Office, в частности макросов Excel 4.0», — заявила Microsoft в декабре.
«Следует отметить, что, хотя угрозы используют макросы Excel 4.0 как попытку избежать обнаружения, эта функция теперь отключена по умолчанию и, таким образом, требует, чтобы пользователи включали ее вручную, чтобы такие угрозы выполнялись должным образом».
Это существенное улучшение безопасности для защиты клиентов Office, поскольку использование вредоносных макросов VBA, встроенных в документы Office, является распространенным методом фишинговых атак с использованием широкого спектра штаммов вредоносных программ, включая Qbot, Emotet, TrickBot и Dridex.
Что такое Qbot?
Qbot (также известный как Qakbot, Quakbot и Pinkslipbot) — это модульный банковский троян для Windows с функциями червя, используемый по крайней мере с 2007 года для кражи банковских учетных данных, личной информации и финансовых данных, а также для установки бэкдоров на взломанные компьютеры и развертывания маяков Cobalt Strike.
Эта вредоносная программа также известна тем, что заражает другие устройства в скомпрометированной сети, используя эксплойты сетевых ресурсов и агрессивные атаки методом перебора, нацеленные на учетные записи администраторов Active Directory.
Несмотря на то, что вредоносная программа Qbot активна уже более десяти лет, она в основном использовалась для узконаправленных атак против юридических лиц, поскольку они обеспечивают более высокую отдачу от инвестиций.
Несколько групп вымогателей, в том числе REvil, Egregor, ProLock, PwndLocker и MegaCortex, также использовали Qbot для взлома корпоративных сетей.
Поскольку заражение Qbot может привести к опасным заражениям и разрушительным атакам, ИТ-администраторам и специалистам по безопасности необходимо ознакомиться с этой вредоносной программой, тактикой, которую она использует для распространения по сети, а также с тактикой, используемой операторами ботнета для доставки ее новым целям.
В отчете Microsoft от декабря 2021 года отражена универсальность атак Qbot, что затрудняет точную оценку масштабов его заражений.
https://www.bleepingcomputer.com/news/security/qbot-malware-switches-to-new-windows-installer-infection-vector/
Black Basta объединилась с вредоносной программой QBot для бокового распространения через взломанные корпоративные среды.
QBot (QuakBot) — это вредоносное ПО для Windows, которое крадет банковские учетные данные, учетные данные домена Windows и доставляет вредоносное ПО на зараженные устройства.
Жертвы обычно заражаются Qbot через фишинговые атаки с вредоносными вложениями. Несмотря на то, что он начинался как банковский троян, он неоднократно сотрудничал с группами Ransomware, включая
Black Basta — это относительно новая операция с Ransomware, которая началась впечатляюще, взломав множество компаний за относительно короткое время и требуя больших выплат выкупа.
Аналитики NCC Group обнаружили новое партнерство между Qakbot и Black Basta во время недавнего реагирования на инцидент, где они смогли определить методы, используемые злоумышленником.
В то время как ramsomware обычно используют QBot для первоначального доступа, NCC сообщает, что Black Basta использовала его для бокового распространения по сети.
В частности,
«Qakbot был основным методом, используемым злоумышленником для поддержания своего присутствия в сети. Злоумышленник также был замечен с использованием маяков Cobalt Strike во время компрометации», — поясняется в отчете NCC Group.
Аналитики также отмечают, что обнаружили в папке Windows текстовый файл с именем «pc_list.txt», который содержал список внутренних IP-адресов всех систем в сети, вероятно, сгенерированный Qakbot.
Отключение Защитника Windows
В недавней атаке, которую наблюдали спасатели NCC, Black Basta демонстрирует те же характеристики, которые были замечены с тех пор, как впервые сообщили о нем.
Эти характеристики включают изменение значка обоев, удаление теневых копий, добавление расширения .basta к зашифрованным файлам и создание идентификатора компании в заметках о выкупе.
Тем не менее, NCC заявляет, что злоумышленники также отключают Защитника Windows, чтобы избежать обнаружения и свести к минимуму шансы поставить под угрозу успех этапа шифрования.
Операторы программ-вымогателей достигли этой цели, либо выполняя команды PowerShell, либо создавая объект групповой политики на скомпрометированном контроллере домена, который выполнял изменения в реестре Windows.
Qakbot может быстро перемещаться внутри скомпрометированных сетей, перехватывая учетные данные и подключаясь к соседним рабочим станциям. Тем не менее, полезная нагрузка программы-вымогателя не извлекается сразу, поэтому у защитников всегда есть окно возможностей, прежде чем произойдет катастрофа.
Троянец имеет сложные и разнообразные пути атаки, каждый из которых имеет свои возможности обнаружения, но все они начинаются с получения вредоносного электронного письма. Следовательно, именно на это нужно обращать наибольшее внимание, избегая открытия вложений или нажатия на встроенные ссылки.
https://www.bleepingcomputer.com/news/security/qbot-now-pushes-black-basta-ransomware-in-bot-powered-attacks/
Операторы вредоносного ПО QBot использовали калькулятор Windows для загрузки вредоносной полезной нагрузки на зараженные компьютеры.
Неопубликованная загрузка DLL — это распространенный метод атаки, использующий то, как библиотеки динамической компоновки (DLL) обрабатываются в Windows. Он заключается в подделке легитимной DLL и помещении ее в папку, из которой операционная система загружает ее вместо легитимной.
QBot, также известный как Qakbot, представляет собой штамм вредоносного ПО для Windows, который начинался как банковский троян, но превратился в дроппер вредоносного ПО и используется кибергруппами на ранних стадиях атаки для сброса маяков Cobalt Strike.
Исследователь безопасности ProxyLife недавно обнаружил, что Qakbot злоупотребляет приложением Windows 7 Calculator для атак с боковой загрузкой DLL как минимум с 11 июля. Этот метод продолжает использоваться в кампаниях по рассылке вредоносного спама.
Новая цепочка заражения QBot
Чтобы помочь защитникам защититься от этой угрозы, ProxyLife и исследователи из Cyble задокументировали последнюю цепочку заражения QBot.
Электронные письма, используемые в последней кампании, содержат вложенный файл HTML, который загружает защищенный паролем ZIP-архив с файлом ISO внутри.
Пароль для открытия ZIP-файла указан в HTML-файле, а причина блокировки архива — избежать обнаружения антивирусом.
ISO содержит файл .LNK, копию calc.exe (калькулятор Windows) и два файла DLL, а именно WindowsCodecs.dll и полезную нагрузку с именем 7533.dll.
Когда пользователь монтирует файл ISO, он отображает только файл .LNK, который замаскирован под PDF-файл, содержащий важную информацию, или файл, который открывается в браузере Microsoft Edge.
Однако ярлык указывает на приложение «Калькулятор» в Windows, как показано в диалоговом окне свойств файлов.
Щелчок по ярлыку запускает заражение, запуская Calc.exe через командную строку.
При загрузке калькулятор Windows 7 автоматически ищет и пытается загрузить законный DLL-файл WindowsCodecs. Однако он не проверяет наличие библиотеки DLL по определенным жестко заданным путям и загружает любую библиотеку DLL с тем же именем, если она помещена в ту же папку, что и исполняемый файл Calc.exe.
Злоумышленники пользуются этой уязвимостью, создавая свой собственный вредоносный файл WindowsCodecs.dll, который запускает другой файл [пронумерованный].dll, представляющий собой вредоносное ПО QBot.
При установке QBot через доверенную программу, такую как Windows Calculator, некоторые программы безопасности могут не обнаруживать вредоносное ПО при его загрузке, что позволяет злоумышленникам избежать обнаружения.
QBot существует уже более десяти лет, его происхождение восходит к 2009 году. Хотя кампании по его доставке проводятся нечасто, в прошлом было замечено, что он распространялся ботнетом Emotet для сброса полезной нагрузки программ-вымогателей.
Среди семейств программ-вымогателей, доставленных QBot, — RansomExx, Maze, ProLock и Egregor. Совсем недавно вредоносное ПО сбросило программу-вымогатель Black Basta.
https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/
Вредоносное ПО QBot теперь распространяется в рамках фишинговых кампаний с использованием PDF-файлов и файлов сценариев Windows (WSF) для заражения устройств Windows.
Qbot (также известный как QakBot) — бывший банковский троян, который превратился в вредоносное ПО, обеспечивающее первоначальный доступ к корпоративным сетям для других злоумышленников. Этот первоначальный доступ осуществляется путем сброса дополнительных полезных нагрузок, таких как Cobalt Strike, Brute Ratel и других вредоносных программ, которые позволяют другим злоумышленникам получить доступ к скомпрометированному устройству.
Используя этот доступ, злоумышленники распространяются по сети, похищая данные и, в конечном итоге, развертывая программы-вымогатели в атаках с целью вымогательства.
Начиная с этого месяца, исследователь безопасности ProxyLife и группа Cryptolaemus ведут хронику использования Qbot нового метода рассылки электронной почты — вложений в формате PDF, которые загружают файлы сценариев Windows для установки Qbot на устройства жертвы.
Это начинается с электронной почты
QBot в настоящее время распространяется через фишинговые электронные письма с цепочкой ответов, когда злоумышленники используют украденные электронные письма, а затем отвечают на них со ссылками на вредоносное ПО или вредоносные вложения.
Использование электронных писем с цепочкой ответов — это попытка сделать фишинговое электронное письмо менее подозрительным, поскольку оно является ответом на текущий разговор.
В фишинговых письмах используются разные языки, что означает всемирную кампанию по распространению вредоносного ПО.
К этим электронным письмам прикреплен файл PDF с именем «CancelationLetter-[номер].pdf», который при открытии отображает сообщение о том, что «Этот документ содержит защищенные файлы, чтобы отобразить их, нажмите кнопку «Открыть».
Однако при нажатии кнопки вместо этого будет загружен ZIP-файл, содержащий файл сценария Windows (wsf).
Файл сценария Windows имеет расширение .wsf и может содержать смесь кода JScript и VBScript, который выполняется при двойном щелчке файла.
Файл WSF, используемый в кампании по распространению вредоносных программ QBot, сильно запутан, и его конечной целью является выполнение скрипта PowerShell на компьютере.
Сценарий PowerShell, который выполняется файлом WSF, пытается загрузить DLL из списка URL-адресов. Каждый URL-адрес проверяется до тех пор, пока файл не будет успешно загружен в папку %TEMP% и выполнен.
Когда QBot DLL выполняется, он запускает команду PING, чтобы определить, есть ли подключение к Интернету. Затем вредоносная программа внедрит себя в законную программу Windows wermgr.exe (диспетчер ошибок Windows), где она будет работать в фоновом режиме.
Заражение вредоносным ПО QBot может привести к разрушительным атакам на корпоративные сети, поэтому крайне важно понять, как распространяется вредоносное ПО.
Партнеры по программам-вымогателям, связанные с несколькими операциями Ransomware-as-a-Service (RaaS), включая BlackBasta, REvil, PwndLocker, Egregor, ProLock и MegaCortex, использовали Qbot для первоначального доступа к корпоративным сетям.
Исследователи из отчета DFIR показали, что QBot требуется всего около 30 минут, чтобы украсть конфиденциальные данные после первоначального заражения. Хуже того, для распространения вредоносной активности на соседние рабочие станции требуется всего час.
Поэтому, если устройство заражено QBot, очень важно как можно скорее отключить систему и выполнить полную оценку сети на наличие необычного поведения.
https://www.bleepingcomputer.com/news/security/new-qbot-email-attacks-use-pdf-and-wsf-combo-to-install-malware/
DLL — это файл библиотеки, содержащий функции, которые могут использоваться более чем одной программой одновременно. Когда приложение запускается, оно пытается загрузить все необходимые библиотеки DLL.
Он делает это путем поиска DLL в определенных папках Windows и, когда находит, загружает ее. Однако приложения Windows будут отдавать приоритет библиотекам DLL в той же папке, что и исполняемый файл, загружая их раньше всех остальных.
Перехват DLL — это когда злоумышленник создает вредоносную DLL с тем же именем, что и легитимная, и помещает ее в ранний путь поиска Windows, обычно в ту же папку, что и исполняемый файл. Когда этот исполняемый файл запускается, он загружает вредоносную DLL, а не законную, и выполняет в ней любые вредоносные команды.
QBot использует уязвимость перехвата DLL WordPad
QBot, также известный как Qakbot, представляет собой вредоносное ПО для Windows, которое изначально начиналось как банковский троян, но превратилось в дроппер. Группы ransomware, в том числе Black Basta, Egregor и Prolock, сотрудничали с операцией вредоносных программ, чтобы получить первоначальный доступ к корпоративным сетям для проведения вымогательских атак.
Исследователь безопасности и участник Cryptolaemus ProxyLife сообщил, что новая фишинговая кампания QBot начала использовать уязвимость захвата DLL в исполняемом файле Windows 10 WordPad, write.exe.
ProxyLife сообщил, что они фишинговые сообщения ссылку для загрузки файла.
Когда человек нажимает на ссылку, он загружает ZIP-архив со случайным именем с удаленного хоста.
Этот ZIP-файл содержит два файла: document.exe (исполняемый файл WordPad для Windows 10) и DLL-файл с именем edputil.dll (используемый для захвата DLL).
Как видно из свойств файла document.exe, это просто переименованная копия законного исполняемого файла Write.exe, используемого для запуска редактора документов Windows 10 WordPad.
При запуске document.exe он автоматически пытается загрузить законный файл DLL с именем edputil.dll, который обычно находится в папке C:\Windows\System32.
Однако когда исполняемый файл пытается загрузить файл edputil.dll, он не проверяет его наличие в определенной папке и загружает любую библиотеку DLL с тем же именем, которая находится в той же папке, что и исполняемый файл document.exe.
Это позволяет злоумышленникам выполнять перехват DLL, создавая вредоносную версию DLL edputil.dll и сохраняя ее в той же папке, что и document.exe, чтобы она загружалась вместо нее.
После загрузки DLL ProxyLife сообщил, что вредоносное ПО использует C:\Windows\system32\curl.exe для загрузки DLL, замаскированной под файл PNG, с удаленного хоста.
Затем этот PNG-файл (фактически DLL) запускается с помощью rundll32.exe с помощью следующей команды:
QBot теперь будет тихо работать в фоновом режиме, похищая электронные письма для использования в дальнейших фишинговых атаках и, в конечном итоге, загружая другие полезные нагрузки, такие как Cobalt Strike (инструментарий после эксплуатации, который злоумышленники используют для получения первоначального доступа к зараженному устройству).
Затем это устройство будет использоваться в качестве плацдарма для горизонтального распространения по сети, что обычно приводит к краже корпоративных данных и атакам программ-вымогателей.
Устанавливая QBot через доверенную программу, такую как Windows 10 WordPad (write.exe), злоумышленники надеются, что программное обеспечение безопасности не пометит вредоносное ПО как вредоносное.
Однако использование curl.exe означает, что этот метод заражения будет работать только в Windows 10 и более поздних версиях, поскольку более ранние версии операционной системы не включают программу Curl.
По большей части это не должно быть проблемой, так как более старые версии Windows были постепенно прекращены после окончания поддержки.
В настоящее время в последние недели операция QBot перешла к другим методам заражения, но нередко они переключаются на предыдущую тактику в более поздних кампаниях.
https://www.bleepingcomputer.com/news/security/qbot-malware-abuses-windows-wordpad-exe-to-infect-devices/