注册
登录
| 关键词: Qakbot 文件 Ratel Brute 通过 红队 攻击 Strike Cobalt 趋势科技 |
安全专家观察到Black Basta勒索软件使用Qakbot特洛伊木马部署Brute Ratel C4框架作为第二阶段的有效载荷。趋势科技在技术分析中表示,这一发展标志着Brute Ratel 这款著名红队工具首次通过Qakbot部署。 入侵是使用包含指向恶意ZIP文件下载链接的钓鱼电子邮件实现的,然后使用Cobalt Strike进行横向移动。 Cobalt Strike,Brute Ratel是著名红队工具,是安全研究人员为渗透测试活动开发的合法安全实用程序,其强大的功能使它们成为网络黑产手中的有力武器。 上个月,Brute Ratel C4的破解版在地下网络犯罪分子中传播,这促使其开发人员更新许可算法以使其更难破解。 Qakbot,也称为 QBot 和 QuackBot,是一种信息窃取程序和银行木马,自 2007 年以来一直活跃。但其模块化设计和充当下载程序的能力使其成为释放其他恶意软件的有吸引力的候选者。 据趋势科技称,电子邮件中的 ZIP 文件包含一个 ISO 文件,该文件又包含一个 LNK 文件,该文件可获取Qakbot 有效负载,说明部分威胁参与者在微软决定采取默认情况下阻止从 Web 下载的文档的宏。  Qakbot 感染通过检索 Brute Ratel 和 Cobalt Strike 成功,但在通过内置命令行工具(如 arp、ipconfig、nslookup、netstat 和 whoami)执行自动侦察之前没有成功。 在另一个 Qakbot 执行链中,ZIP 文件是通过一种称为HTML走私的日益流行的方法传递的,导致 Brute Ratel C4作为第二阶段恶意载荷执行。 研究人员说:“Qakbot 到 Brute Ratel 到 Cobalt Strike 杀伤链与 Black Basta Ransomware 背后的组织有关。这是基于在 Black Basta 攻击中观察到的重叠 TTP (攻击技战术)和使用的网络基础设施判断的。”  调查结果与最近几个月通过HTML 文件附件、DLL 侧载和电子邮件线程劫持等各种技术再次出现的 Qakbot 攻击不谋而合,其中最后一项是从针对微软的成功ProxyLogon 攻击中大量针对Exchange服务器。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
