Ο πάροχος κυβερνοασφάλειας ReliaQuest παρατήρησε ότι οι κυβερνο-εγκληματίες χρησιμοποίησαν εφτά διαφορετικούς malware loaders για να αναπτύξουν τις εισβολές τους κατά το πρώτο εξάμηνο του 2023.
Τρία από αυτά, το QakBot, το SocGholish και το Raspberry Robin, ήταν οι πιο δημοφιλείς malware loaders, αποτελώντας το 80% όλων των παραβιάσεων.
QakBot, το προτιμώμενο εργαλείο του BlackBasta
Το πρώτο, QakBot (επίσης γνωστό ως QBot, QuackBot, Pinkslipbot), χρησιμοποιήθηκε σε 30% των παραβιάσεων που εντοπίστηκαν από την ReliaQuest.
Ενεργό από το 2009, το QakBot συνδέεται με την ομάδα BlackBasta και χρησιμοποιείται για να επιτεθεί σε οποιοδήποτε κλάδο. Αρχικά ήταν ένα banking trojan, αλλά αργότερα εξελίχθηκε σε έναν malware loader που μπορεί να εγκαταστήσει επιπλέον φορτία, να κλέψει ευαίσθητες πληροφορίες και να διευκολύνει την πλευρική κίνηση.
Συνήθως αναπτύσσεται μέσω phishing email που προσφέρει στον παραλήπτη εξατομικευμένα δέλεαρ—επείγοντα αιτήματα, τιμολόγια, συνημμένα αρχείων ή hyperlinks. Αυτά οδηγούν στη λήψη ωφέλιμων φορτίων (με τη μορφή PDF, HTML scripts ή αρχείων OneNote).
Στη συνέχεια, το QakBot χρησιμοποιεί αρχεία WSF, JavaScript, Batch, HTA ή LNK, τα οποία, όταν εκτελούνται, συνήθως εδραιώνουν το persistence μέσω προγραμματισμένης εργασίας ή κλειδιών εκτέλεσης στο μητρώο.
Τελικά, το QakBot εκτελεί εντολές ανακάλυψης και ξεκινά επικοινωνία ελέγχου και εντολής (C2) για τη μετάδοση πληροφοριών system/domain και την παράδοση επιπλέον φορτίων (συνήθως των εργαλείων απομακρυσμένης πρόσβασης “Atera” ή “NetSupport”, μαζί με το “Cobalt Strike”) για post-exploitation.
SocGholish, φορτωτής της ομάδας Evil Corp από το 2018
Ο δεύτερος, γνωστός και ως SocGholish ή FakeUpdates, ήταν υπεύθυνος για το 27% των διεισδύσεων.
Συνδεδεμένο με την Evil Corp, μια ομάδα που δραστηριοποιείται σε χρηματοοικονομικά κίνητρα εγκλήματα διαδικτύου από το 2007 τουλάχιστον, το SocGholish άρχισε να χρησιμοποιείται το 2018 κατά εταιρειών στην κλάδο των υπηρεσιών φιλοξενίας και εστίασης, του λιανικού εμπορίου και των νομικών υπηρεσιών, κυρίως στις Ηνωμένες Πολιτείες.
Είναι ένας φορτωτής που βασίζεται σε JavaScript και απευθύνεται σε περιβάλλοντα βασισμένα στα Microsoft Windows.
Το malware παραδίδεται μέσω παραβίασης drive-by (λήψη χωρίς αλληλεπίδραση του χρήστη). Οι επισκέπτες σε ένα ευρύ δίκτυο πειραγμένων ιστότοπων παρασύρονται να κατεβάσουν “ενημερώσεις”, συνήθως μέσω outdated browser prompts ή άλλων δελεαστικών ενημερώσεων για το Microsoft Teams και το Adobe Flash.
Το SocGholish συνδέεται επίσης με το Exotic Lily, έναν initial access broker (IAB) που είναι ενεργός τουλάχιστον από τον Σεπτέμβριο του 2021. Ο IAB διεξάγει εξαιρετικά εξελιγμένες εκστρατείες απάτης με σκοπό την απόκτηση αρχικής πρόσβασης σε οργανισμούς και την πώλησή της σε άλλους απειλητικούς παράγοντες.
Κατά το πρώτο εξάμηνο του 2023, οι φορείς του SocGholish διεξήγαγαν επιθετικές επιθέσεις watering hole. Πρόκειται για μια μορφή επίθεσης όπου παραβιάζονται και μολύνονται οι ιστότοποι μεγάλων οργανισμών που ασχολούνται με κοινές επιχειρηματικές δραστηριότητες με μεγάλη δυναμική. Οι ανυποψίαστοι επισκέπτες αναπόφευκτα κατέβασαν το κακόβουλο πακέτο του SocGholish, με αποτέλεσμα την εξάπλωση των μολύνσεων σε μεγάλη κλίμακα.
Ο Raspberry Robin, ένας Worm-Turned-Loader που χρησιμοποιείται από διάφορες ομάδες
Ο Raspberry Robin, είχε χρησιμοποιηθεί σε 23% των παραβιάσεων. Αυτός ο φορτωτής κακόβουλου λογισμικού συνδέεται με διάφορες κακόβουλες ομάδες, όπως η Evil Corp και η Silence (γνωστή και ως Whisper Spider), ένας κακόβουλος παράγοντας με οικονομικά κίνητρα που στοχεύει χρηματοπιστωτικά ιδρύματα στην Ουκρανία, τη Ρωσία, το Αζερμπαϊτζάν, την Πολωνία και το Καζακστάν.
Έχει επίσης χρησιμοποιηθεί για την παράδοση πολλαπλών ransomware και άλλων παραλλαγών κακόβουλου λογισμικού, όπως “Clop”, “LockBit”, “TrueBot” και “Flawed Grace”, εκτός από το εργαλείο Cobalt Strike.
Το Raspberry Robin είναι ένα εξαιρετικά άπιαστο πρόγραμμα φόρτωσης τύπου worm που στοχεύει περιβάλλοντα Microsoft Windows. Οι εξαιρετικές του δυνατότητες διάδοσης εμφανίζονται μετά την αρχική μόλυνση μέσω κακόβουλων συσκευών USB, όταν το cmd.exe εκτελεί ένα αρχείο LNK στο μολυσμένο USB.
Το αρχείο LNK περιέχει εντολές που ενεργοποιούν τις ενσωματωμένες διεργασίες των Windows, όπως το msiexec.exe, για να πραγματοποιήσουν μια εξερχόμενη σύνδεση για να κατεβάσουν το αρχείο DLL του Raspberry Robin.
Μόλις εκκινηθεί το Raspberry Robin payload, δημιουργούνται πρόσθετες διεργασίες χρησιμοποιώντας binaries του συστήματος, όπως το rundll32.exe, το odbcconf.exe και το control.exe, για την εκτέλεση κακόβουλου κώδικα. Αυτός ο κώδικας εισχωρεί σε διεργασίες του συστήματος (π.χ. regsvr32.exe, rundll32.exe, dllhost.exe) για να δημιουργήσει προγραμματισμένες εργασίες για το persistence, για την έναρξη επικοινωνίας C2 και για την παράδοση άλλων payload.
Το 2023, το Raspberry Robin χρησιμοποιήθηκε για να επιτεθεί σε οικονομικά ιδρύματα, τηλεπικοινωνίες, κυβερνητικές και κατασκευαστικές οργανώσεις, κυρίως στην Ευρώπη, αν και οι Ηνωμένες Πολιτείες έχουν αντιμετωπίσει κι αυτές μερίδα επιθέσεων.
Οι χειριστές του SocGholish χρησιμοποίησαν το Raspberry Robin το πρώτο τρίμηνο του 2023 όταν στόχευαν σε μεγάλο βαθμό νομικούς και χρηματοοικονομικούς οργανισμούς.
Στην ανάλυσή της, η ReliaQuest προειδοποίησε ότι αυτά τα ευρήματα επικεντρώνονται στους φορτωτές κακόβουλου λογισμικού που ανιχνεύτηκαν στην τηλεμετρία της. Αυτό δεν σημαίνει απαραίτητα ότι οι στοχευμένοι δίκτυοι έχουν παραβιαστεί.
Πηγή πληροφοριών: infosecurity-magazine.com
