Το BlackCat ransomware προωθεί το Cobalt Strike μέσω διαφημίσεων αναζήτησης WinSCP.
Η ομάδα BlackCat ransomware (επίσης γνωστή ως ALPHV) διεξάγει κακόβουλες διαφημιστικές εκστρατείες για να παρασύρει τους χρήστες σε ψεύτικες σελίδες που μιμούνται τον επίσημο ιστότοπο της εφαρμογής μεταφοράς αρχείων WinSCP για τα Windows, αλλά αντ’ αυτού προωθούν κακόβουλους installers.
Δείτε επίσης: Βρέθηκε τροποποιημένη εφαρμογή Telegram με malware
Το WinSCP (Windows Secure Copy) είναι ένα δημοφιλές δωρεάν και ανοιχτού κώδικα πρόγραμμα-πελάτη SFTP, FTP, S3, SCP και διαχείριση αρχείων με δυνατότητες μεταφοράς αρχείων SSH με 400.000 εβδομαδιαίες λήψεις μόνο στο SourceForge.
Η ομάδα BlackCat ransomware χρησιμοποιεί το πρόγραμμα ως δέλεαρ για να μολύνει δυνητικά τους υπολογιστές των διαχειριστών συστημάτων, των διαχειριστών ιστού και των επαγγελματιών πληροφορικής για αρχική πρόσβαση σε πολύτιμα εταιρικά δίκτυα.
Οι αναλυτές της Trend Micro ανακάλυψαν έναν προηγουμένως άγνωστο φορέα μόλυνσης από το ransomware ALPHV όταν εντόπισαν διαφημίσεις που προωθούσαν τις ψεύτικες σελίδες τόσο στις σελίδες αναζήτησης της Google όσο και της Bing.
Δείτε επίσης: Η TSMC φέρεται να παραβιάστηκε από το LockBit ransomware
Από το WinSCP στο CobaltStrike
Η επίθεση “BlackCat” που παρατηρήθηκε από την Trend Micro ξεκινά με το θύμα να αναζητά “WinSCP Download” στο Bing ή το Google και να λαμβάνει προωθημένα κακόβουλα αποτελέσματα που κατατάσσονται πάνω από τις ασφαλείς τοποθεσίες λήψης WinSCP.
Τα θύματα κάνουν κλικ σε αυτές τις διαφημίσεις και επισκέπτονται έναν ιστότοπο που φιλοξενεί σεμινάρια σχετικά με την εκτέλεση αυτοματοποιημένων μεταφορών αρχείων με τη χρήση του WinSCP.
Αυτοί οι ιστότοποι δεν περιέχουν τίποτα κακόβουλο, πιθανόν για να αποφύγουν τον εντοπισμό από τους ανιχνευτές κατά της κατάχρησης της Google, αλλά ανακατευθύνουν τους επισκέπτες σε έναν κλώνο του επίσημου ιστότοπου WinSCP που διαθέτει ένα κουμπί λήψης. Αυτοί οι κλώνοι χρησιμοποιούν domainname παρόμοια με το πραγματικό domain winscp.net για το utility, όπως το winsccp[.]com.
Το θύμα πατάει το κουμπί και λαμβάνει ένα αρχείο ISO που περιέχει τα αρχεία “setup.exe” και “msi.dll”.Το πρώτο είναι το δέλεαρ για να ξεκινήσει ο χρήστης και το δεύτερο είναι το κακόβουλο πρόγραμμα που ενεργοποιείται από το εκτελέσιμο αρχείο.
Αυτή η διαδικασία εγκαθιστά και ένα trojanized python310.dll και δημιουργεί έναν μηχανισμό persistence δημιουργώντας ένα κλειδί εκτέλεσης με το όνομα “Python” και την τιμή “C:\Users\Public\Music\python\pythonw.exe”.
Το εκτελέσιμο pythonw.exe φορτώνει ένα τροποποιημένο, obfuscated python310.dll που περιέχει ένα Cobalt Strike beacon, ο οποίος συνδέεται με μια διεύθυνση command-and-control server.
Δείτε επίσης: Ο χάκερ πίσω από το Gozi malware καταδικάστηκε σε τρία χρόνια φυλάκιση στις ΗΠΑ
Άλλα εργαλεία που χρησιμοποιούνται από την ομάδα BlackCat ransomware/ALPHV
Με το Cobalt Strike να εκτελείται στο σύστημα, είναι εύκολο να εκτελεστούν πρόσθετες δέσμες ενεργειών, να ληφθούν εργαλεία για πλευρική μετακίνηση και γενικά να βαθύνει το compromise.
Οι αναλυτές της Trend Micro παρατήρησαν ότι οι χειριστές του ALPHV χρησιμοποίησαν τα ακόλουθα εργαλεία στις επόμενες φάσεις.
- AdFind: εργαλείο γραμμής εντολών που χρησιμοποιείται για την ανάκτηση πληροφοριών Active Directory (AD).
- PowerShell commands χρησιμοποιείται για τη συλλογή δεδομένων χρήστη, την εξαγωγή αρχείων ZIP και την εκτέλεση των script.
- AccessChk64: εργαλείο γραμμής εντολών που χρησιμοποιείται για αναγνώριση αδειών χρήστη και ομάδων.
- Findstr: εργαλείο γραμμής εντολών που χρησιμοποιείται για την αναζήτηση κωδικών πρόσβασης σε αρχεία XML.
- PowerView: PowerSploit script που χρησιμοποιείται στην αναγνώριση και απαρίθμηση AD.
- Python scripts χρησιμοποιείται για την εκτέλεση του εργαλείου ανάκτησης κωδικού πρόσβασης LaZagne και τη λήψη credential Veeam.
- PsExec, BitsAdmin, και Curl, χρησιμοποιείται για πλευρική κίνηση
- AnyDesk: νόμιμο εργαλείο απομακρυσμένης διαχείρισης που γίνεται κατάχρηση για τη διατήρηση του persistence
- KillAV BAT script που χρησιμοποιείται για την απενεργοποίηση ή την παράκαμψη προγραμμάτων προστασίας από ιούς και κακόβουλου λογισμικού.
- PuTTY Secure Copy client που χρησιμοποιείται για την εξαγωγή των συλλεγόμενων πληροφοριών από το σύστημα που έχει παραβιαστεί.
Μαζί με τα παραπάνω εργαλεία, η ALPHV χρησιμοποίησε επίσης το SpyBoy “Terminator”, ένα πρόγραμμα απενεργοποίησης EDR και προστασίας από ιούς που πωλείται από απειλητικούς φορείς σε ρωσόφωνα hacking forum για έως και 3.000 $.
Πρόσφατη έρευνα της CrowdStrike επιβεβαίωσε ότι ο “Terminator” είναι σε θέση να παρακάμψει αρκετά εργαλεία ασφαλείας των Windows χρησιμοποιώντας έναν μηχανισμό “Bring Your Own Vulnerable Driver” (BYOVD) για να κλιμακώσει τα προνόμια στο σύστημα και να τα απενεργοποιήσει.
Η Trend Micro αναφέρει ότι έχει συνδέσει τις προαναφερθείσες τακτικές, τεχνικές και διαδικασίες (TTPs) με επιβεβαιωμένες μολύνσεις από το ALPHV ransomware. Βρήκε επίσης ένα αρχείο Clop ransomware σε ένα από τα domain που ερευνήθηκαν για τη διοίκηση και τον έλεγχο (C2), γεγονός που υποδηλώνει ότι ο απειλητικός παράγοντας μπορεί να συνδέεται με πολλαπλές επιχειρήσεις ransomware.
Πηγή πληροφοριών: bleepingcomputer.com
...){kind=link}