Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe BackConnect (BC)-malware die is ontwikkeld door bedreigingsactoren die verband houden met de beruchte QakBot-lader.
“BackConnect is een veelgebruikte functie of module die door bedreigingsactoren wordt gebruikt om doorzettingsvermogen te behouden en taken uit te voeren”, vertelde het Cyber Intelligence-team van Walmart aan The Hacker News. “De gebruikte BackConnect(s) waren ‘DarkVNC’ naast de IcedID BackConnect (KeyHole).”
Het bedrijf merkte op dat de BC-module werd gevonden op dezelfde infrastructuur waar werd waargenomen dat deze een andere malware-lader verspreidde, genaamd ZLoader, die onlangs werd bijgewerkt met een Domain Name System (DNS)-tunnel voor command-and-control (C2)-communicatie.
QakBot, ook wel QBot en Pinkslipbot genoemd, kreeg in 2023 een grote operationele tegenslag nadat de infrastructuur in beslag werd genomen als onderdeel van een gecoördineerde wetshandhavingsinspanning genaamd Duck Hunt. Sindsdien zijn er sporadische campagnes ontdekt die de malware verspreiden.
Oorspronkelijk ontworpen als een banktrojan, werd het later aangepast tot een lader die in staat is om volgende fase-payloads af te leveren op een doelsysteem zoals ransomware. Een opvallend kenmerk van de QakBot, naast IcedID, is de BC-module die de bedreigingsactoren de mogelijkheid biedt om de host als proxy te gebruiken, en een kanaal voor externe toegang aan te bieden door middel van een ingebedde VNC-component.
Uit de analyse van Walmart is gebleken dat de BC-module, naast verwijzingen naar oude QakBot-monsters, verder is verbeterd en ontwikkeld om systeeminformatie te verzamelen, min of meer als een autonoom programma fungeert om vervolgexploitatie te vergemakkelijken.
“In dit geval is de malware waar we het over hebben een op zichzelf staande achterdeur die BackConnect gebruikt als medium om een bedreigingsactor in staat te stellen toegang te krijgen tot het toetsenbord”, aldus Walmart. “Dit onderscheid wordt nog verder benadrukt door het feit dat deze achterdeur systeeminformatie verzamelt.”
De BC-malware is ook het onderwerp geweest van een onafhankelijke analyse door Sophos, die de artefacten toeschreef aan een bedreigingscluster dat het volgt als STAC5777, dat op zijn beurt overlapt met Storm-1811, een cybercriminele groep die bekend staat om het misbruiken van Quick Assist voor Black Basta. ransomware-implementatie door zich voor te doen als technisch ondersteunend personeel.
Het Britse cyberbeveiligingsbedrijf merkte op dat zowel STAC5777 als STAC5143 – een dreigingsgroep met mogelijke banden met FIN7 – hun toevlucht hebben genomen tot e-mailbombardementen en Microsoft Teams die potentiële doelwitten hebben bezocht en hen hebben misleid om de aanvallers externe toegang tot hun computers te verlenen via Quick Assist of de ingebouwde software van Teams. -scherm delen om Python-backdoors en Black Basta-ransomware te installeren.
“Beide bedreigingsactoren exploiteerden hun eigen Microsoft Office 365-servicetenants als onderdeel van hun aanvallen en maakten gebruik van een standaard Microsoft Teams-configuratie waarmee gebruikers op externe domeinen chats of vergaderingen met interne gebruikers konden initiëren”, aldus Sophos.
Nu Black Basta-operators eerder op QakBot vertrouwden voor het inzetten van de ransomware, schetst de opkomst van een nieuwe BC-module, in combinatie met het feit dat Black Basta de afgelopen maanden ook ZLoader heeft gedistribueerd, een beeld van een sterk onderling verbonden ecosysteem voor cybercriminaliteit waarin de ontwikkelaars achter QakBot ondersteunt het Black Basta-team waarschijnlijk met nieuwe tools, aldus Walmart.
