不只雙重勒索,Black Basta 收編 QakBot 木馬與 PrintNightmare 漏洞,擴充軍火庫

最近趨勢科技研究了一起由 Black Basta 勒索病毒 Ransomware集團所策劃的攻擊,這起攻擊使用了 QakBot 木馬程式作為首次入侵及橫向移動手段,同時也運用 PrintNightmare 漏洞來執行一些需要提高權限的檔案操作。

 Black Basta 勒索病毒集團自今年 4 月開始營運以來,近期在全球已累積 50 起攻擊案例,可說是惡名昭彰,同時它還採用了現代化勒索病毒慣用的雙重勒索手法,除了會將機密資料加密之外,還會威脅受害者若不支付贖金就要將資料外流。這個新興的勒索病毒集團一直在不斷精進其攻擊手法。最近我們發現他們使用  QakBot 銀行木馬程式作為首次入侵及橫向移動手段,同時也運用 PrintNightmare 漏洞 (CVE-2021-34527) 來執行一些需要提高權限的檔案操作。
◾延伸閱讀:竟在”已傳送”郵件資料夾內偵測到高風險 Qakbot 病毒?原來帳號被盜了!


根據趨勢科技某家客戶的案例,其系統上感染的 Black Basta 勒索病毒就是由 QakBot 所植入 (圖 1)。這是 QakBot 惡意程式家族的典型行為,也是許多勒索病毒家族所使用的散播途徑,例如:MegaCortex、PwndLockerm、Egregor、ProLock 和 REvil (亦稱為 Sodinokibi)。QakBot在 2007 年首次被發現,向來以滲透能力著稱,曾在多起攻擊行動中扮演「惡意程式安裝服務」的角色。多年來,這個銀行木馬程式越來越精密,從它有能力攻擊新發現的 Microsoft 零時差漏洞 Follina (CVE-2022-30190) 即可見一斑。

圖 1:電腦感染惡意檔案的時間點。
圖 1:電腦感染惡意檔案的時間點。


QakBot 感染過程


QakBot 是經由魚叉式網路釣魚郵件散布 (圖 2),這些郵件夾帶含有 Excel 4.0 巨集的 Excel 檔案。郵件內容會誘騙收件人啟用巨集功能,進而下載並執行 QakBot DLL 檔案 (圖 3 和 4)。下載後的 QakBot DLL 會儲存至某個特定的路徑和檔案名稱,接著透過 regsvr32.exe 來執行 (圖 5)。QakBot DLL 會將程式碼注入 explorer.exe 處理程序 (圖 6),接著被注入程式碼的 Explorer 處理程序會建立一個排程工作,讓惡意程式能夠常駐被感染的系統 (圖 7)。

圖 2:從首次入侵到植入 Black Basta 勒索病毒的感染過程。


圖 3:QakBot 的 Excel 檔內容會誘騙受害者啟用 Excel 4.0 巨集。


圖 4:用來下載 QakBot 惡意程式的網址。


圖 5:下載後的 QakBot 惡意程式會儲存至某個特定的路徑和檔案名稱。


圖 6:惡意程式碼會被注入「explorer.exe」處理程序當中。


圖 7:QakBot 所建立的排程工作。

一旦 QakBot 安裝到系統後,就會開始下載並植入其他元件,首先是下載 Cobeacon 後門程式。我們看到惡意程式使用含有多層加密編碼的 PowerShell 腳本來執行 Cobeacon (圖 8 至 11)。安裝好的 Cobeacon 含有 Base64 編碼的 shellcode 會建立一個 Named Pipe 作為通訊管道 (圖 12),這個通訊管道有可能是用來將受害系統上蒐集到的資訊外傳。當受害者拒絕支付贖金時,Black Basta 勒索病毒集團就會將這些資訊公開在他們的資料外洩網站。

圖 8:Cobeacon 的第一層加密編碼,Base64 編碼的 PowerShell 指令。


圖 9:Cobeacon 的第二層加密編碼,將壓縮檔載入記憶體內讀取。


圖 10:Cobeacon 的第三層加密編碼,解開後的腳本用來執行 Base64 加密編碼的 shellcode。


圖 11:解開的 shellcode 反組譯後的樣子。


圖 12:Shellcode 含有一個 Named Pipe 作為通訊管道。


PrintNightmare 與 Coroxy


在進一步分析遭 Black Basta 感染的系統之後,我們發現了該集團攻擊  PrintNightmare 漏洞的證據。Black Basta 經由這個漏洞使用 Windows 多工列印緩衝服務 (spoolsv.exe) 來植入「spider.dll」惡意檔案,然後執行需要提高權限的檔案操作。此外,也利用此漏洞來執行受感染系統中的另一個檔案,不過系統上已找不到這個檔案的樣本。

此外,我們的研究還發現勒索病毒集團使用了 Coroxy 後門程式。他們利用 Coroxy 再搭配 Netcat 這個網路工具程式在網路內橫向移動。當駭客在網路內部建立大量據點之後,就會執行 Black Basta 勒索病毒,詳細感染程序可參閱先前的另一篇文章

防範網路釣魚


魚叉式釣魚(spear phishing)經常是勒索病毒感染的前兆,企業可採取以下最佳實務原則來避免經由電子郵件散布的資料威脅:

  • 確實停用 Microsoft Office 應用程式的巨集功能。
  • 在開啟或下載任何附件之前,務必先檢查電子郵件的寄件人與郵件內容。
  • 若郵件中包含連結,將滑鼠移到連結上方停一下以顯示連結的完整網址。
  • 留意郵件是否出現一些意圖不良的跡象,包括:不熟悉的郵件地址、郵件地址與寄件人名稱不符、假冒某公司名義的郵件等等。

企業及企業員工可採用一套端點防護來保護公司的機敏資料,防範 Black Basta 這類經由電子郵件散布的勒索病毒威脅,例如趨勢科技的 Smart Protection SuitesWorry-Free Business Security  解決方案,兩者都內建行為監控功能可偵測惡意的檔案、腳本及訊息,並能攔截所有相關的惡意網址。還有趨勢科技 Deep Discovery™ 也可提供電子郵件檢查來偵測惡意的附件檔案和網址以確保企業安全。此外,像Trend Micro Vision One™ 平台這樣的多層式偵測及回應解決方案,也可讓企業更全面掌握電子郵件、端點、伺服器、雲端工作負載以及網路等防護層的狀況,偵測系統上的可疑行為,盡早攔截惡意元件,進而降低感染勒索病毒的風險。 

入侵指標資料


雜湊碼

SHA-256趨勢科技偵測名稱
01fafd51bb42f032b08b1c30130b963843fea0493500e871d6a6a87e555c7bacRansom.Win32.BLACKBASTA.YXCEP
72a48f8592d89eb53a18821a54fd791298fcc0b3fc6bf9397fd71498527e7c0eTrojan.X97M.QAKBOT.YXCFH
580ce8b7f5a373d5d7fbfbfef5204d18b8f9407b0c2cbf3bcae808f4d642076aBackdoor.Win32.COROXY.YACEKT
130af6a91aa9ecbf70456a0bee87f947bf4ddc2d2775459e3feac563007e1aedTrojan.Win64.QUAKNIGHTMARE.YACEJT
c7eb0facf612dbf76f5e3fe665fe0c4bfed48d94edc872952a065139720e3166TrojanSpy.Win32.QAKBOT.YXCEEZ
ffa7f0e7a2bb0edf4b7785b99aa39c96d1fe891eb6f89a65d76a57ff04ef17abTrojanSpy.Win32.QAKBOT.YACEJT
2083e4c80ade0ac39365365d55b243dbac2a1b5c3a700aad383c110db073f2d9TrojanSpy.Win32.QAKBOT.YACEJT
1e7174f3d815c12562c5c1978af6abbf2d81df16a8724d2a1cf596065f3f15a2TrojanSpy.Win32.QAKBOT.YACEJT
2d906ed670b24ebc3f6c54e7be5a32096058388886737b1541d793ff5d134ccbTrojanSpy.Win32.QAKBOT.YACEJT
72fde47d3895b134784b19d664897b36ea6b9b8e19a602a0aaff5183c4ec7d24TrojanSpy.Win32.QAKBOT.YACEJT
2e890fd02c3e0d85d69c698853494c1bab381c38d5272baa2a3c2bc0387684c1TrojanSpy.Win32.QAKBOT.YACEJT
c9df12fbfcae3ac0894c1234e376945bc8268acdc20de72c8dd16bf1fab6bb70Ransom.Win32.BLACKBASTA.YACEJ
8882186bace198be59147bcabae6643d2a7a490ad08298a4428a8e64e24907adTrojan.Win32.BLACKBASTA.YXCEJ
0e2b951ae07183c44416ff6fa8d7b8924348701efa75dd3cb14c708537471d27Trojan.Win32.BLACKBASTA.YXCEJ
0d3af630c03350935a902d0cce4dc64c5cfff8012b2ffc2f4ce5040fdec524edTrojan.Win32.BLACKBASTA.YXCEJ
df35b45ed34eaca32cda6089acbfe638d2d1a3593d74019b6717afed90dbd5f8Trojan.Win32.BLACKBASTA.YXCEJ
3fe73707c2042fefe56d0f277a3c91b5c943393cf42c2a4c683867d6866116fcTrojan.Win32.BLACKBASTA.YXCEJ
433e572e880c40c7b73f9b4befbe81a5dca1185ba2b2c58b59a5a10a501d4236Ransom.Win32.BLACKBASTA.A.note
c4683097a2615252eeddab06c54872efb14c2ee2da8997b1c73844e582081a79PUA.Win32.Netcat.B


網址
24[.]178[.]196[.]44:2222
37[.]186[.]54[.]185:995
39[.]44[.]144[.]182:995
45[.]63[.]1[.]88:443
46[.]176[.]222[.]241:995
47[.]23[.]89[.]126:995
72[.]12[.]115[.]15:22
72[.]76[.]94[.]52:443
72[.]252[.]157[.]37:995
72[.]252[.]157[.]212:990
73[.]67[.]152[.]122:2222
75[.]99[.]168[.]46:61201
103[.]246[.]242[.]230:443
113[.]89[.]5[.]177:995
148[.]0[.]57[.]82:443
167[.]86[.]165[.]191:443
173[.]174[.]216[.]185:443
180[.]129[.]20[.]53:995
190[.]252[.]242[.]214:443
217[.]128[.]122[.]16:2222
elblogdeloscachanillas[.]com[.]mx/S3sY8RQ10/Ophn[.]png
lalualex[.]com/ApUUBp1ccd/Ophn[.]png
lizety[.]com/mJYvpo2xhx/Ophn[.]png

◼原文出處:Black Basta Ransomware Operators Expand Their Attack Arsenal With QakBot Trojan and PrintNightmare Exploit 作者:Kenneth Adrian Apostol、Paolo Ronniel Labrador、Mirah Manlapig、James Panlilio、Emmanuel Panopio、John Kenneth Reyes 與 Melvin Singwa

🔴一般用戶

假使您也不幸成了受害者,請保持冷靜,最好向外尋求協助,但不要支付贖金。而平時,最好可以安裝一套防毒軟體的即時防護。如 趨勢科技 PC-cillin 的「勒索剋星」可為您的寶貴檔案提供多一層防護。》立即免費下載試用

🔴企業用戶
建議企業採用一套跨世代的多層式防護技術來防止最新勒索病毒攻擊,在適當時機套用適當的技術來保護您的使用者和資料。》立即前往了解