Аналитики NCC Group обнаружили партнерство между QBot и Black Basta , которая использовала QBot для бокового распространения по сети. Вредоносное ПО удаленно создала временную службу на целевом хосте и настроила ее для выполнения своей DLL с помощью regsvr32.exe.
После запуска QBot может заражать общие сетевые ресурсы и диски, а также использовать SMB протокол (Server Message Block) для создания своих копий или распространения через общие ресурсы администратора, используя учетные данные пользователя.
«QBot использовался злоумышленником для поддержания своего присутствия в сети. Киберпреступник также был замечен с использованием маяков Cobalt Strike во время компрометации», — поясняется в отчете NCC Group.
Недавняя атака Black Basta содержала изменение значка обоев, удаление теневых копий, добавление расширения .basta к зашифрованным файлам и создание идентификатора кампании в записке с требованием выкупа. Более того, Black Basta также отключили Защитника Windows, чтобы избежать обнаружения.
QBot имеет сложные и разнообразные способы атаки, каждый из которых имеет свои возможности для обнаружения, но все они начинаются с получения фишингового электронного письма. Пользователь должен обращать на это внимание и избегать открытия вложений или нажатия на встроенные ссылки.
Напомним, что операторы вредоносного ПО Qbot (также известного как Qakbot и QuakBot) могут украсть конфиденциальные данные всего за 30 минут . Злоумышленникам
требуется 30 минут, чтобы украсть данные браузера и электронные письма из
Microsoft Outlook, и 50 минут, прежде чем они перейдут на соседнюю компьютерную
систему.
Источник: SecurityLab