Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
ReliaQuest entdeckt einen Sicherheitsvorfall, der durch den QBot-Bankentrojaner verursacht wurde
März 30, 2023 - TuxCare PR Team
ReliaQuest hat einen Sicherheitsvorfall entdeckt, der durch den QBot-Bankentrojaner in der Umgebung eines Kunden verursacht wurde. Ein Bedrohungsakteur verschaffte sich über eine Phishing-E-Mail Zugang zum Netzwerk, installierte die QBot-Malware, erweiterte seine Privilegien und fasste innerhalb von 77 Minuten Fuß.
Das Verhalten des Angreifers deutete darauf hin, dass er Mitglied des RaaS-Programms von Black Basta war, das mit einer Vielzahl von Ransomware-Angriffen in Verbindung gebracht wurde. Die Phishing-E-Mail wurde als bösartig erkannt, konnte aber von einer allzu freizügigen Sicherheitslösung nicht erkannt werden. Die Malware wurde über HTML-Schmuggel ausgeführt, eine gängige Taktik von Bedrohungsakteuren.
ReliaQuest arbeitete mit dem betroffenen Kunden zusammen, um die Auswirkungen des Eindringens zu mildern und riet den Unternehmen, akzeptierte Risiken zu vermeiden, die das Vorankommen der Angreifer verhindern oder zumindest verlangsamen könnten.
Der QBot-Bankentrojaner wurde 2007 entdeckt und seither aktualisiert, um neue Techniken und Fähigkeiten wie laterale Bewegungen, Umgehung der Erkennung, Debugging und die Installation zusätzlicher Malware auf kompromittierten Rechnern zu ermöglichen.
Die Bereitstellung des Cobalt Strike Beacons und der Fernverwaltungssoftware in der Umgebung des Opfers erleichterte die Verwendung von QBot für den ersten Zugriff. Nachdem der Bedrohungsakteur Fuß gefasst hatte, verschaffte er sich gültige Zugangsdaten für das Dienstkonto und ging seitlich vor, um weitere Cobalt Strike Beacons zu installieren.
Die Office 365-Verwaltung hat die Phishing-E-Mail, die den ersten Zugriff ermöglichte, korrekt als bösartig identifiziert. Die ZIP-Datei war mit abc333 passwortgeschützt. Die Angreifer nutzten den anfänglichen QBot-Zugang, um einen Cobalt Strike Beacon zu senden, der mit dem Teamserver unter 194.165.16[.]95 kommunizierte. Die Angreifer kommunizierten über die Fernzugriffssoftware AnyDesk, Atera und Splashtop, die das HTTPS-Protokoll verwenden, und hielten ihre Stellung aufrecht.
Der erste Zugang wurde über eine Phishing-E-Mail mit dem Betreff REF#6547 SEP 28.HTML am 26. September 2022 gewährt. ReliaQuest identifizierte mehrere Erkenntnisse aus dem Angriff, einschließlich der Tatsache, dass die Aktionen der Angreifer durch ein bekanntes Risiko begünstigt wurden, das, wenn es vermieden worden wäre, ihre Fortschritte hätte verhindern können.
HTML-Schmuggel ermöglichte die Ausführung. Wenn die HTML-Datei in einem E-Mail-Client geöffnet wurde, wurde der Benutzer aufgefordert, sie lokal herunterzuladen. Als er dies tat und die HTML-Datei in einem Browser öffnete, erschien ein kodiertes JavaScript Binary Large Object (BLOB). Das BLOB erstellte dann eine ZIP-Datei und lud sie auf die Festplatte des Benutzers herunter.
Der Bedrohungsakteur verschaffte sich Zugang zu den Anmeldeinformationen, nachdem er über das Data Protection Application Programming Interface (DPAPI) mit einem Anmeldeinformationsschlüssel für ein Konto interagiert hatte; DPAPI wird verwendet, um persönliche Daten auf dem lokalen System zu schützen, darunter auch Benutzeranmeldeinformationen. DPAPI wird zum Schutz persönlicher Daten auf dem lokalen System verwendet, darunter auch Benutzerdaten. Einige der gängigsten Tools wie Mimikatz, das auch während des Vorfalls verwendet wurde, bieten Möglichkeiten, mit DPAPI zu interagieren, um auf Anmeldeinformationen zuzugreifen. Mimikatz ist ein Open-Source-Malware-Programm, das von Hackern und Penetrationstestern verwendet wird, um Anmeldeinformationen auf Windows-Computern zu sammeln.
Zu den Quellen für diesen Beitrag gehört ein Artikel in Reliaquest.
