Support technique
Documentation
Connexion
Nous contacter
ReliaQuest détecte un incident de sécurité causé par le cheval de Troie bancaire QBot
Le 30 mars 2023 - L'équipe de relations publiques de TuxCare
ReliaQuest a découvert un incident de sécurité causé par le cheval de Troie bancaire QBot dans l'environnement d'un client. Un acteur de la menace a accédé au réseau par le biais d'un courriel d'hameçonnage, a installé le logiciel malveillant QBot, a escaladé les privilèges et s'est installé en 77 minutes.
Le comportement de l'attaquant indiquait qu'il était membre du programme Black Basta RaaS, qui a été lié à un grand nombre d'attaques par ransomware. Le courriel d'hameçonnage a été détecté comme malveillant mais a réussi à éviter d'être détecté par une solution de sécurité trop permissive, et le logiciel malveillant a été exécuté via la contrebande HTML, une tactique couramment utilisée par les acteurs de la menace.
ReliaQuest a travaillé avec le client concerné pour atténuer l'impact de l'intrusion et a conseillé aux entreprises d'éviter les risques acceptés qui pourraient empêcher ou au moins ralentir les progrès des attaquants.
Le cheval de Troie bancaire QBot a été découvert en 2007 et a depuis été mis à jour pour inclure de nouvelles techniques et capacités telles que le mouvement latéral, l'évasion de la détection, le débogage et l'installation de logiciels malveillants supplémentaires sur les machines compromises.
Le déploiement de la balise Cobalt Strike et du logiciel de gestion à distance dans l'environnement de la victime a facilité l'utilisation de QBot pour l'accès initial. Après avoir pris pied, l'acteur de la menace a obtenu des identifiants de compte de service valides et s'est déplacé latéralement pour déployer d'autres balises Cobalt Strike.
La gestion d'Office 365 a correctement identifié l'email de phishing qui a fourni l'accès initial comme étant malveillant. Le fichier ZIP était protégé par un mot de passe abc333. Les attaquants ont profité de l'implantation initiale de QBot pour envoyer une balise Cobalt Strike, qui a communiqué avec son serveur d'équipe à 194.165.16[.]95. Les attaquants ont communiqué et maintenu leur position en utilisant les logiciels d'accès à distance AnyDesk, Atera et Splashtop, qui utilisent le protocole HTTPS.
L'accès initial a été accordé par le biais d'un courriel d'hameçonnage ayant pour objet REF#6547 SEP 28.HTML le 26 septembre 2022. ReliaQuest a identifié plusieurs leçons à tirer de cette attaque, notamment le fait que les actions des attaquants ont été facilitées par un risque connu qui, s'il avait été évité, aurait pu empêcher leur progression.
L'exécution de la contrebande de HTML est possible. Lorsque le fichier HTML est ouvert dans un client de messagerie, l'utilisateur est invité à le télécharger localement. Il l'a fait, et lorsqu'il a ouvert le fichier HTML dans un navigateur, un grand objet binaire (BLOB) JavaScript codé est apparu. Le BLOB a ensuite créé et téléchargé un fichier ZIP sur le disque dur de l'utilisateur.
L'acteur de la menace a obtenu un accès aux informations d'identification après avoir interagi avec une clé d'identification pour un compte via l'interface de programmation d'applications de protection des données (DPAPI) ; DPAPI est utilisée pour protéger les données personnelles sur le système local, y compris les informations d'identification de l'utilisateur. Il s'agit d'une cible courante pour la collecte d'informations d'identification et, dans ce cas, le compte a été compromis. Certains des outils les plus courants, tels que Mimikatz, qui a également été utilisé lors de l'incident, permettent d'interagir avec DPAPI afin d'accéder aux informations d'identification. Mimikatz est un logiciel malveillant à code source ouvert utilisé par les pirates et les testeurs de pénétration pour recueillir des informations d'identification sur les ordinateurs Windows.
Les sources de cet article comprennent un article paru dans Reliaquest.
