標題：Black Basta 勒索軟件組織通過QAKBOT Brute Ratel和Cobalt Strike滲透網絡

趨勢科技的研究人員最近分析了一個與QAKBOT相關的示例，該示例導致了Brute Ratel C4和Cobalt Strike有效負載，這可以歸因於Black Basta 勒索軟件組織。

QAKBOT的惡意軟件在短暫中斷後於2022年9月8日恢復傳播，當時研究人員在這一天發現了幾個傳播機制。觀察到的傳播方法包括SmokeLoader(使用' snow0x '傳播器ID)， Emotet(使用' azd '傳播器ID)，以及使用' BB '和' Obama20x ' ID的惡意垃圾郵件。

最近一個涉及QAKBOT ‘BB’傳播器的示例導致部署了Brute Ratel(被趨勢科技檢測為Backdoor.Win64.BRUTEL)，這是一個類似於Cobalt Strike的框架，作為第二階段有效負載。這是一個值得注意的進展，因為這是我們第一次通過QAKBOT感染觀察到Brute Ratel作為第二階段有效負載。這次攻擊還包括使用Cobalt Strike進行橫向移動。研究人員認為這些活動是Black Basta 勒索軟件組織所為。

攻擊的時間表

Brute Ratel和其他CC框架的興起

與CobaltStrike一樣,BruteRatel是一種攻擊模擬工具，是商業CC框架領域的相對新的工具，它在該領域與更成熟的競爭者如Cobalt Strike競爭。

像Brute Ratel和Cobalt Strike這樣的攻擊模擬框架經常會被滲透測試專業人員使用，用於合法的滲透測試活動，在這些活動中組織尋求提高他們檢測和響應真實網絡攻擊的能力。這些框架用於從遠程位置提供實際的鍵盤訪問，以模擬攻擊者在網絡攻擊中使用的戰術、技術和過程(TTP)。

除了Cobalt Strike的合法使用示例外，它還因非法使用而臭名昭著，在過去幾年裡，它幾乎經常出現在勒索軟件攻擊中。它用作殭屍網絡的常見第二階段有效載荷，例如QAKBOT (TrojanSpy.Win64.QAKBOT)，IcedID (TrojanSpy.Win64.ICEDID)，Emotet (TrojanSpy.Win64.EMOTET) 和Bumblebee(Trojan.Win64.BUMBLELOADER) 等。不幸的是，在過去的幾年中，Cobalt Strike的幾個版本已被洩露，從而加速了攻擊者的惡意使用。

與Brute Ratel相比，由於其受歡迎程度高，其檢測覆蓋率比後者更大。這使得Brute Ratel和其他不太成熟的CC框架對惡意攻擊者來說越來越有吸引力，他們的活動可能在很長一段時間內都不會被發現。

Brute Ratel最近在黑市非常受歡迎，該框架的版本在地下組織中交易非常活躍，並發布了破解版本。 Brute Ratel的開發人員在最近的Twitter帖子中承認了這一漏洞。

QAKBOT 'BB' 到Brute Ratel

攻擊活動概況

該活動通過垃圾郵件開始，其中包含發送給潛在受害者的惡意新URL。 URL登錄頁面向收件人顯示ZIP文件的密碼。

已下載ZIP文件以及文件密碼的通知

繞過沙盒和安全檢測在此階段使用受密碼保護的ZIP文件可能是為了逃避安全解決方案的分析。

繞過安全檢測的標誌ZIP文件包含一個. iso文件。使用ISO文件是為了破壞“Mark of the Web (MOTW)” ，該標記將文件標記為從互聯網下載。它使這些文件受到Windows和終端安全解決方案的其他安全措施的影響。 ISO文件包含一個使用“Explorer”圖標的可見LNK文件和兩個隱藏的子目錄，每個子目錄包含各種文件和目錄。默認情況下，Windows操作系統不向用戶顯示隱藏文件。下圖說明了啟用“顯示隱藏文件”設置時用戶看到的內容。

啟用“顯示隱藏文件”設置時，用戶看到的添加隱藏子目錄

目錄結構如下：

目錄結構

命令行界面的執行順序QAKBOT在兩個腳本文件之間使用模糊處理，一個JavaScript (.js)文件和一個批處理腳本(.cmd)文件，很可能是為了隱藏看起來可疑的命令行。

命令行接口的執行順序

初始QAKBOT CC服務器通信C C基礎設施在地理上分佈在主要位於住宅Internet服務提供商(ISP) 寬帶網絡中的受損主機上。

這些“第1層”CC服務器被QAKBOT運營商認為是一次性的，並且幾乎每次有新的惡意軟件傳播時經常被更換，儘管有些服務器在多個QAKBOT惡意軟件配置中仍然存在。

自動化偵察命令在最初的CC通信之後僅6分鐘，並且QAKBOT惡意軟件現在在註入的進程(wermgr.exe)中運行，通過執行多個內置命令行工具在受感染的環境中執行自動偵察。這些命令行的執行順序如下：

內置命令行的執行順序

該活動在趨勢科技Vision One™中可見，它可以檢測到這些內置Windows命令的可疑使用。

顯示與wermgr.exe相關的活動

QAKBOT釋放Brute Ratel自動偵察活動完成五分鐘後，注入QAKBOT的wermgr.exe進程釋放Brute Ratel DLL，並通過帶有“main”導出函數的rundll32.exe子進程調用它。

Brute Ratel被wermgr.exe通過rundll32.exe進程調用

該後門是一個HTTPS，它在symantecuptimehost[.]com執行擁有Brute Ratel服務器的簽入：

Brute Ratel簽入

在環境中執行進一步的偵察，以識別特權用戶。首先，使用內置的net.exe和nltest.exe。

識別特權用戶的偵察過程

其次，SharpHound實用程序通過Brute Ratel在註入的svchost.exe進程中運行，以輸出JSON文件，這些文件被輸入到BloodHound，並被標記為Active Directory組織單元、組策略、域、用戶組、計算機和用戶。然後將這些文件打包到一個ZIP文件中，以便為信息竊取做準備。整個過程都是腳本化的，只需不到兩秒鐘就可以完成。

通過svchost.exe輸出JSON文件

Brute Ratel釋放Cobalt Strike有趣的是，攻擊者選擇利用Cobalt Strike進行橫向移動。將幾個信標文件中的第一個文件放到運行Brute Ratel C4的受感染終端上，第一個文件為：C:\Users\Public\Name-123456.xls。

使用以下命令在運行Brute Ratel C4的同一主機上執行此信標文件：rundll32 C:\users\public\Name-123456.xls,DllRegisterServer。

接下來，攻擊者釋放其他信標文件，並將這些文件複製到網絡上其他主機上的管理共享，再次使用帶有XLS附件的文件名。

C:\Users\Public\abcabc.xls

C:\Users\Public\abc-1234.xls

C:\Users\Public\Orders_12_34_56.xls

C:\Users\Public\MkDir.xls

用於復製文件的命令如下：

以下列表是信標C C服務器：

hxxps://fewifasoc[.]com | 45.153.242[.]251

hxxps://hadujaza[.]com | 45.153.241[.]88

hxxps://himiketiv[.]com | 45.153.241[.]64

在採取任何最終行動之前，攻擊者會被從環境中驅逐出去。

到Brute Ratel的QAKBOT ‘Obama’在另一個事件中，趨勢科技發現QAKBOT使用‘Obama’傳播者ID前綴(即“Obama208”)也將Brutel Ratel C4作為第二級有效負載。

在此示例中，惡意軟件以受密碼保護的ZIP文件的形式通過HTML走私傳遞，這允許攻擊者“走私”編碼的惡意腳本到HTML附件或網頁。一旦用戶在瀏覽器中打開HTML頁面，就會解碼腳本並組裝有效負載。

QAKBOT傳播者使用密碼保護來抵禦網絡和沙箱安全掃描

一旦使用HTML附件中提供的密碼解密了ZIP文件，用戶就會看到一個ISO文件。惡意文件包含在ISO文件中，被用作Web繞過的標記。在內部，ISO文件包含以下目錄結構：

ISO文件目錄結構

自從QAKBOT回歸以來，研究人員觀察到執行鏈中的多種形式，從腳本語言到文件擴展名，再到導出函數名和序號的使用。對於這種感染，使用的是以下變體：

感染過程與上述攻擊中描述的TTP(戰術、技術和程序)相同。但是，在C2配置中觀察到一個顯著差異，與更傳統的HTTPS C2通道相比該配置使用HTTPS (DoH) 上的DNS。觀察到的C C服務器使用了帶有let's-Encrypt的HTTPS。

通過使用DoH，攻擊者可以隱藏C2域的DNS查詢。如果沒有使用中間人(MitM) 技術檢查SSL/TLS流量，則對C2服務器的DNS查詢將不會被注意到。

通過HTTPS (DoH)上的DNS執行C C通信的Brute Ratel進程。在採取任何最終行動之前，攻擊已經得到緩解

與Black Basta的關係

QakBot到Black Basta攻擊中使用的Brute Ratel和Cobalt Strike基礎結構

根據調查，研究人員可以確定QAKBOT-to-Brute Ratel-to-Cobalt Strike攻擊鏈與Black Basta組織有關。這是基於在Black Basta攻擊中觀察到的重疊ttp和基礎設施來判斷的。

總結用戶可以通過以下一些最佳實踐來阻止新的QAKBOT變體和其他通過電子郵件傳播的攻擊：

在下載附件或從電子郵件中選擇嵌入式鏈接之前，請驗證電子郵件發件人和內容；

將指針懸停在嵌入鏈接上方以顯示鏈接的目標；

檢查發件人的身份，不熟悉的電子郵件地址，不匹配的電子郵件和發件人姓名，以及偽造的公司郵件都是危險跡象；

如果電子郵件聲稱來自合法公司，請在採取任何行動之前驗證他們是否確實發送了電子郵件。