Киберпреступная экосистема продолжает развиваться, и одним из ярких примеров этой эволюции является появление нового вредоносного ПО BackConnect (BC), связанного с печально известным QakBot. Этот новый модуль BC, по сути, автономный бэкдор, добавляет к арсеналу злоумышленников мощные инструменты, включая DNS-туннелирование и расширенные возможности удаленного доступа.
BackConnect, известный своей способностью обеспечивать постоянство в системе и выполнять различные задачи, использует "DarkVNC" и IcedID BackConnect ("KeyHole"), предоставляя операторам не только информацию о скомпрометированной системе, но и возможность «ручного» управления. Примечательно, что этот бэкдор был обнаружен на инфраструктуре, ранее используемой для распространения ZLoader, другого зловреда, активно использующего DNS-туннелирование для связи со своим командным центром (C2).
QakBot, ранее известный как банковский троян, пережил серьезный удар в 2023 году во время операции "Duck Hunt", но, несмотря на это, сохраняет спорадическую активность. Он использует модуль BC для прокси-сервера и удаленного доступа через VNC. Немаловажно и то, что QakBot был связан с развертыванием вымогательского ПО Black Basta, что подчеркивает взаимосвязь между этими злоумышленниками.
ZLoader, еще один загрузчик вредоносного ПО, недавно обновился, включив в себя DNS-туннелирование для C2-коммуникаций. Обнаружение его на той же инфраструктуре, что и новый BC-модуль, свидетельствует о скоординированной деятельности между кибергруппировками. DNS-туннелирование используется для сокрытия связи между зараженными машинами и командными серверами, делая обнаружение и блокировку сложнее.
Удаленный доступ, который обеспечивает BC-модуль, не ограничивается только "DarkVNC". Злоумышленники, по всей видимости, используют Quick Assist или Microsoft Teams для непосредственного доступа к компьютерам своих жертв.
За этой сложной сетью вредоносного ПО стоят различные группы киберпреступников. STAC5777, как отслеживает компания Sophos, является одним из таких кластеров. Storm-1811, группа, частично пересекающаяся с STAC5777, известна злоупотреблением Quick Assist для развертывания Black Basta. STAC5143 – это еще одна группа, возможно, связанная с FIN7. Операторы Black Basta, которые в прошлом использовали QakBot, вероятно, сотрудничают с разработчиками QakBot в создании и распространении нового бэкдора.
Техники, которые используют эти злоумышленники, довольно разнообразны и включают в себя «бомбардировки» электронной почтой, вишинг через Microsoft Teams, злоупотребление Quick Assist и совместным использованием экрана в Teams.
Взаимосвязь между этими группами свидетельствует о сформировавшейся киберпреступной экосистеме, где происходит обмен инфраструктурой и инструментами. Разработчики QakBot, кажется, поддерживают Black Basta, предоставляя им инструменты, такие как модуль BC. Группы STAC5777 и Storm-1811 взаимодействуют через Quick Assist и развертывание Black Basta.
Объединение QakBot, ZLoader, нового BC-модуля, DNS-туннелирования и методов удаленного доступа является серьезной угрозой. Кибератаки становятся все более изощренными, а границы между различными группами и инструментами все больше стираются.
Изображение носит иллюстративный характер
BackConnect, известный своей способностью обеспечивать постоянство в системе и выполнять различные задачи, использует "DarkVNC" и IcedID BackConnect ("KeyHole"), предоставляя операторам не только информацию о скомпрометированной системе, но и возможность «ручного» управления. Примечательно, что этот бэкдор был обнаружен на инфраструктуре, ранее используемой для распространения ZLoader, другого зловреда, активно использующего DNS-туннелирование для связи со своим командным центром (C2).
QakBot, ранее известный как банковский троян, пережил серьезный удар в 2023 году во время операции "Duck Hunt", но, несмотря на это, сохраняет спорадическую активность. Он использует модуль BC для прокси-сервера и удаленного доступа через VNC. Немаловажно и то, что QakBot был связан с развертыванием вымогательского ПО Black Basta, что подчеркивает взаимосвязь между этими злоумышленниками.
ZLoader, еще один загрузчик вредоносного ПО, недавно обновился, включив в себя DNS-туннелирование для C2-коммуникаций. Обнаружение его на той же инфраструктуре, что и новый BC-модуль, свидетельствует о скоординированной деятельности между кибергруппировками. DNS-туннелирование используется для сокрытия связи между зараженными машинами и командными серверами, делая обнаружение и блокировку сложнее.
Удаленный доступ, который обеспечивает BC-модуль, не ограничивается только "DarkVNC". Злоумышленники, по всей видимости, используют Quick Assist или Microsoft Teams для непосредственного доступа к компьютерам своих жертв.
За этой сложной сетью вредоносного ПО стоят различные группы киберпреступников. STAC5777, как отслеживает компания Sophos, является одним из таких кластеров. Storm-1811, группа, частично пересекающаяся с STAC5777, известна злоупотреблением Quick Assist для развертывания Black Basta. STAC5143 – это еще одна группа, возможно, связанная с FIN7. Операторы Black Basta, которые в прошлом использовали QakBot, вероятно, сотрудничают с разработчиками QakBot в создании и распространении нового бэкдора.
Техники, которые используют эти злоумышленники, довольно разнообразны и включают в себя «бомбардировки» электронной почтой, вишинг через Microsoft Teams, злоупотребление Quick Assist и совместным использованием экрана в Teams.
Взаимосвязь между этими группами свидетельствует о сформировавшейся киберпреступной экосистеме, где происходит обмен инфраструктурой и инструментами. Разработчики QakBot, кажется, поддерживают Black Basta, предоставляя им инструменты, такие как модуль BC. Группы STAC5777 и Storm-1811 взаимодействуют через Quick Assist и развертывание Black Basta.
Объединение QakBot, ZLoader, нового BC-модуля, DNS-туннелирования и методов удаленного доступа является серьезной угрозой. Кибератаки становятся все более изощренными, а границы между различными группами и инструментами все больше стираются.
