自 2022 年 4 月投入運(yùn)營以來，Black Basta 對(duì)全球近 50 家組織發(fā)起了攻擊。攻擊者使用了“雙重勒索”策略，如果受害者不交付贖金就會(huì)被公開數(shù)據(jù)。

勒索團(tuán)伙會(huì)不斷改進(jìn)攻擊方式，最近研究人員發(fā)現(xiàn) Black Basta 與銀行木馬 QakBot 勾結(jié)在一起，利用 QakBot 作為跳板入口。并且還新增利用 PrintNightmare 漏洞（CVE-2021-34527）執(zhí)行特權(quán)操作。

失陷主機(jī)檢測(cè)文件時(shí)間線

失陷主機(jī)感染了 QakBot 之后又部署了 Black Basta 勒索軟件，如下所示。QakBot 也多個(gè)勒索軟件家族的“探路先鋒”，分發(fā)過 MegaCortex、PwndLockerm、Egregor、ProLock 和 REvil。最早 QakBot 在 2007 年被發(fā)現(xiàn)，以攻擊性強(qiáng)而聞名，現(xiàn)在也擁抱“惡意軟件即服務(wù)”。QakBot 也變得越來越復(fù)雜，新微軟零日漏洞 Follina（CVE-2022-30190）披露不久就被納入武器庫中。

QakBot 的感染鏈

QakBot 感染鏈

QakBot 使用魚叉郵件進(jìn)行分發(fā)，其中包含帶有 Excel 4.0 宏的 Excel 文件。這些電子郵件會(huì)誘使收件人啟用宏代碼，宏代碼會(huì)下載并執(zhí)行 QakBot DLL 文件。

誘使啟用宏代碼

下載 URL

下載的 QakBot DLL 文件被放置到特定的文件路徑，并通過 regsvr-32.exe 執(zhí)行。

釋放文件

QakBot DLL 文件使用 explorer.exe 執(zhí)行進(jìn)程注入。

進(jìn)程注入

之后會(huì)創(chuàng)建一個(gè)計(jì)劃任務(wù)來維持惡意軟件在受感染系統(tǒng)中的持久化。

計(jì)劃任務(wù)

一旦 QakBot 安裝到系統(tǒng)中，就會(huì)繼續(xù)下載并釋放感染鏈中的其他組件，例如 Cobeacon 后門。研究人員已經(jīng)觀察到 Cobeacon 使用多層混淆的無文件 PowerShell 腳本執(zhí)行。

第一層混淆為 base64 編碼的 PowerShell 命令

第二層混淆在內(nèi)存中加載并讀取壓縮文件

第三層混淆解碼 base64 編碼的 shellcode

shellcode 的反匯編代碼

已安裝的 Cobeacon 的 Base64 編碼的 shellcode 會(huì)建立并命名一個(gè)用于通信的管道，如下所示。一旦從目標(biāo)系統(tǒng)收集到信息，通過該管道進(jìn)行數(shù)據(jù)外帶。如果受害者不支付贖金，Black Basta 勒索軟件組織會(huì)在其泄密網(wǎng)站上發(fā)布竊密數(shù)據(jù)。

用于 C&C 通信的命名管道

新增漏洞利用 PrintNightmare

在對(duì) Black Basta 攻陷的系統(tǒng)進(jìn)行進(jìn)一步分析后，研究人員發(fā)現(xiàn)了該勒索軟件組織利用 PrintNightmare 漏洞的證據(jù)。利用此漏洞，Black Basta 就可以濫用 Windows Print Spooler Service 或 spoolsv.exe 來釋放其 Payload、通過 spider.dll 執(zhí)行特權(quán)文件操作。攻擊者還利用該漏洞在失陷主機(jī)中執(zhí)行了另一個(gè)文件，但該文件未能保留下來。

此外，研究人員發(fā)現(xiàn)勒索軟件攻擊者使用了 Coroxy 后門。攻擊者使用 Coroxy 與 Netcat 一起完成橫向平移。一旦攻擊者在網(wǎng)絡(luò)中獲得廣泛的立足點(diǎn)，就會(huì)執(zhí)行 Black Basta 勒索軟件進(jìn)行感染。

IOC

24.178.196.44:2222

37.186.54.185:995

39.44.144.182:995

45.63.1.88:443

46.176.222.241:995

47.23.89.126:995

72.12.115.15:22

72.76.94.52:443

72.252.157.37:995

72.252.157.212:990

73.67.152.122:2222

75.99.168.46:61201

103.246.242.230:443

113.89.5.177:995

148.0.57.82:443

167.86.165.191:443

173.174.216.185:443

180.129.20.53:995

190.252.242.214:443

217.128.122.16:2222

elblogdeloscachanillas.com.mx/S3sY8RQ10/Ophn.png

lalualex.com/ApUUBp1ccd/Ophn.png

lizety.com/mJYvpo2xhx/Ophn.png

01fafd51bb42f032b08b1c30130b963843fea0493500e871d6a6a87e555c7bac

72a48f8592d89eb53a18821a54fd791298fcc0b3fc6bf9397fd71498527e7c0e

580ce8b7f5a373d5d7fbfbfef5204d18b8f9407b0c2cbf3bcae808f4d642076a

130af6a91aa9ecbf70456a0bee87f947bf4ddc2d2775459e3feac563007e1aed

c7eb0facf612dbf76f5e3fe665fe0c4bfed48d94edc872952a065139720e3166

ffa7f0e7a2bb0edf4b7785b99aa39c96d1fe891eb6f89a65d76a57ff04ef17ab

2083e4c80ade0ac39365365d55b243dbac2a1b5c3a700aad383c110db073f2d9

1e7174f3d815c12562c5c1978af6abbf2d81df16a8724d2a1cf596065f3f15a2

2d906ed670b24ebc3f6c54e7be5a32096058388886737b1541d793ff5d134ccb

72fde47d3895b134784b19d664897b36ea6b9b8e19a602a0aaff5183c4ec7d24

2e890fd02c3e0d85d69c698853494c1bab381c38d5272baa2a3c2bc0387684c1

c9df12fbfcae3ac0894c1234e376945bc8268acdc20de72c8dd16bf1fab6bb70

8882186bace198be59147bcabae6643d2a7a490ad08298a4428a8e64e24907ad

0e2b951ae07183c44416ff6fa8d7b8924348701efa75dd3cb14c708537471d27

0d3af630c03350935a902d0cce4dc64c5cfff8012b2ffc2f4ce5040fdec524ed

df35b45ed34eaca32cda6089acbfe638d2d1a3593d74019b6717afed90dbd5f8

3fe73707c2042fefe56d0f277a3c91b5c943393cf42c2a4c683867d6866116fc

433e572e880c40c7b73f9b4befbe81a5dca1185ba2b2c58b59a5a10a501d4236

c4683097a2615252eeddab06c54872efb14c2ee2da8997b1c73844e582081a79