Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
ReliaQuest detecta un incidente de seguridad causado por el troyano bancario QBot
30 de marzo de 2023 - Equipo de RRPP de TuxCare
ReliaQuest ha descubierto un incidente de seguridad causado por el troyano bancario QBot en el entorno de un cliente. Un actor de amenazas accedió a la red a través de un correo electrónico de phishing, instaló el malware QBot y escaló privilegios y se estableció en 77 minutos.
El comportamiento del atacante indicaba que era miembro del programa Black Basta RaaS, vinculado a un gran número de ataques de ransomware. El correo electrónico de phishing se detectó como malicioso, pero logró evitar la detección por parte de una solución de seguridad excesivamente permisiva, y el malware se ejecutó mediante contrabando HTML, una táctica habitual utilizada por los actores de amenazas.
ReliaQuest trabajó con el cliente afectado para mitigar el impacto de la intrusión y aconsejó a las empresas que evitaran los riesgos aceptados que podrían impedir o al menos ralentizar el avance de los atacantes.
El troyano bancario QBot se descubrió en 2007 y desde entonces se ha actualizado para incluir nuevas técnicas y capacidades como el movimiento lateral, la evasión de la detección, la depuración y la instalación de malware adicional en las máquinas comprometidas.
El despliegue de la baliza Cobalt Strike y del software de gestión remota en el entorno de la víctima facilitó el uso de QBot para el acceso inicial. Tras afianzarse, el actor de la amenaza obtuvo credenciales de cuenta de servicio válidas y se desplazó lateralmente para desplegar más balizas Cobalt Strike.
La administración de Office 365 identificó correctamente como malicioso el correo electrónico de phishing que proporcionó el acceso inicial. El archivo ZIP estaba protegido por contraseña con abc333. Los atacantes aprovecharon el punto de apoyo inicial de QBot para enviar una baliza Cobalt Strike, que se comunicaba con su servidor de equipo en 194.165.16[.]95. Los atacantes se comunicaron y mantuvieron su posición utilizando software de acceso remoto AnyDesk, Atera y Splashtop, que utilizan el protocolo HTTPS.
El acceso inicial se concedió a través de un correo electrónico de phishing con el asunto REF#6547 SEP 28.HTML el 26 de septiembre de 2022. ReliaQuest identificó varias conclusiones del ataque, entre ellas que las acciones de los atacantes se vieron favorecidas por un riesgo conocido que, de haberse evitado, podría haber impedido su avance.
Ejecución habilitada para el contrabando de HTML. Cuando el archivo HTML se abría en un cliente de correo electrónico, se pedía al usuario que lo descargara localmente. Lo hacían, y cuando abrían el archivo HTML en un navegador, aparecía un objeto grande binario (BLOB) codificado en JavaScript. A continuación, el BLOB creaba y descargaba un archivo ZIP en el disco duro del usuario.
El actor de la amenaza obtuvo acceso a las credenciales después de interactuar con una clave de credenciales para una cuenta a través de la interfaz de programación de aplicaciones de protección de datos (DPAPI); DPAPI se utiliza para proteger los datos personales en el sistema local, incluidas las credenciales de usuario. Este es un objetivo común para la recolección de credenciales, y en este caso, la cuenta se vio comprometida como resultado. Algunas de las herramientas más comunes, como Mimikatz, que también se utilizó durante el incidente, proporcionan formas de interactuar con DPAPI para acceder a las credenciales. Mimikatz es un programa malicioso de código abierto utilizado por hackers y probadores de penetración para recopilar credenciales en ordenadores Windows.
Las fuentes de este artículo incluyen un artículo en Reliaquest.
