HackerNews 编译,转载请注明出处:
网络安全研究人员披露了一款新BackConnect(BC)恶意软件的详细信息,该软件由与臭名昭著的QakBot加载程序相关的威胁行为者开发。
沃尔玛网络情报团队向The Hacker News表示:“BackConnect是威胁行为者用来保持持久性和执行任务的一种常见功能或模块。正在使用的BackConnect包括‘DarkVNC’和IcedID的BackConnect(KeyHole)。”
该公司指出,BC模块是在同一基础设施上发现的,该基础设施还用于分发另一种名为ZLoader的恶意软件加载程序,该程序最近已更新,纳入了域名系统(DNS)隧道,用于命令与控制(C2)通信。
QakBot(又称QBot和Pinkslipbot)在2023年遭受重大运营挫折,其基础设施在一项名为“Duck Hunt”的协调执法行动中被查封。自那以后,不断有传播该恶意软件的零星活动被发现。
QakBot最初被设计为银行木马,后来被改造为加载程序,能够在目标系统上交付下一阶段的有效载荷,如勒索软件。QakBot和IcedID的一个显著特点是其BC模块,该模块使威胁行为者能够将主机用作代理,并通过嵌入的VNC组件提供远程访问通道。
沃尔玛的分析显示,BC模块除了包含对旧版QakBot样本的引用外,还得到了进一步增强和开发,用于收集系统信息,在某种程度上充当自主程序,以便利后续利用。
沃尔玛表示:“我们所说的这款恶意软件是一个独立的后门程序,利用BackConnect作为媒介,允许威胁行为者获得键盘访问权限。这款后门程序收集系统信息的特点进一步凸显了这一区别。”
Sophos也对BC恶意软件进行了独立分析,将该软件的痕迹归因于其追踪的威胁集群STAC5777,该集群与Storm-1811重叠,Storm-1811是一个以假扮技术支持人员滥用Quick Assist部署Black Basta勒索软件而臭名昭著的网络犯罪集团。
这家英国网络安全公司指出,STAC5777和STAC5143(一个可能与FIN7有联系的威胁集团)都利用电子邮件轰炸和Microsoft Teams钓鱼攻击潜在目标,诱骗他们通过Quick Assist或Teams内置的屏幕共享功能授予攻击者远程访问其计算机的权限,以安装Python后门和Black Basta勒索软件。
Sophos表示:“这两个威胁行为者都在自己的攻击中运营Microsoft Office 365服务租户,并利用Microsoft Teams的默认配置,该配置允许外部域的用户与内部用户发起聊天或会议。”
沃尔玛表示,鉴于Black Basta运营商之前曾依赖QakBot部署勒索软件,而新款BC模块的出现,再加上Black Basta近几个月也分发了ZLoader的事实,这表明了一个高度互联的网络犯罪生态系统,其中QakBot背后的开发者很可能正在为Black Basta团队提供新工具。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
