最近趨勢科技研究了一起由 Black Basta 勒索病毒 Ransomware集團所策劃的攻擊,這起攻擊使用了 QakBot 木馬程式作為首次入侵及橫向移動手段,同時也運用 PrintNightmare 漏洞來執行一些需要提高權限的檔案操作。
Black Basta 勒索病毒集團自今年 4 月開始營運以來,近期在全球已累積 50 起攻擊案例,可說是惡名昭彰,同時它還採用了現代化勒索病毒慣用的雙重勒索手法,除了會將機密資料加密之外,還會威脅受害者若不支付贖金就要將資料外流。這個新興的勒索病毒集團一直在不斷精進其攻擊手法。最近我們發現他們使用 QakBot 銀行木馬程式作為首次入侵及橫向移動手段,同時也運用 PrintNightmare 漏洞 (CVE-2021-34527) 來執行一些需要提高權限的檔案操作。
延伸閱讀:竟在”已傳送”郵件資料夾內偵測到高風險 Qakbot 病毒?原來帳號被盜了!
根據趨勢科技某家客戶的案例,其系統上感染的 Black Basta 勒索病毒就是由 QakBot 所植入 (圖 1)。這是 QakBot 惡意程式家族的典型行為,也是許多勒索病毒家族所使用的散播途徑,例如:MegaCortex、PwndLockerm、Egregor、ProLock 和 REvil (亦稱為 Sodinokibi)。QakBot在 2007 年首次被發現,向來以滲透能力著稱,曾在多起攻擊行動中扮演「惡意程式安裝服務」的角色。多年來,這個銀行木馬程式越來越精密,從它有能力攻擊新發現的 Microsoft 零時差漏洞 Follina (CVE-2022-30190) 即可見一斑。
