Хакеры обманом заставляли сотрудников финансовых и медицинских организаций через Microsoft Teams предоставлять удаленный доступ через Quick Assist для развертывания нового вредоносного ПО A0Backdoor. Атака основана на социальной инженерии и использует DNS MX-записи для скрытой C2-коммуникации. — bleepingcomputer.com
Хакеры связывались с сотрудниками финансовых и медицинских организаций через Microsoft Teams, чтобы обманом заставить их предоставить удаленный доступ посредством Quick Assist и развернуть новый вредоносный код под названием A0Backdoor.
Злоумышленник использует социальную инженерию для завоевания доверия сотрудника, сначала заваливая его почтовый ящик спамом, а затем связываясь через Teams, выдавая себя за ИТ-персонал компании и предлагая помощь с нежелательными сообщениями.
Чтобы получить доступ к целевой машине, злоумышленник инструктирует пользователя запустить сеанс удаленного доступа Quick Assist, который используется для развертывания вредоносного набора инструментов, включающего подписанные цифровой подписью MSI-установщики, размещенные в личном облачном хранилище Microsoft.
По данным исследователей из компании по кибербезопасности BlueVoyant, вредоносные MSI-файлы маскируются под компоненты Microsoft Teams и CrossDeviceService — легитимный инструмент Windows, используемый приложением Phone Link.
Используя технику DLL sideloading с легитимными бинарными файлами Microsoft, злоумышленник развертывает вредоносную библиотеку (hostfxr.dll), содержащую сжатые или зашифрованные данные. После загрузки в память библиотека расшифровывает данные в shellcode и передает ему управление.
Исследователи сообщают, что вредоносная библиотека также использует функцию CreateThread для предотвращения анализа. BlueVoyant объясняет, что чрезмерное создание потоков может вызвать сбой отладчика, но не оказывает существенного влияния при нормальном исполнении.
Shellcode выполняет обнаружение песочницы, а затем генерирует ключ, производный от SHA-256, который использует для извлечения A0Backdoor, зашифрованного с помощью алгоритма AES.
Вредоносное ПО перемещает себя в новую область памяти, расшифровывает свои основные процедуры и полагается на вызовы API Windows (например, DeviceIoControl, GetUserNameExW и GetComputerNameW) для сбора информации о хосте и его фингерпринтинга.
Связь с командно-контрольным центром (C2) скрыта в DNS-трафике: вредоносное ПО отправляет DNS MX-запросы с закодированными метаданными в поддоменах с высокой энтропией общедоступным рекурсивным резолверам. DNS-серверы отвечают MX-записями, содержащими закодированные команды.
«Вредоносное ПО извлекает и декодирует самый левый элемент для восстановления данных команд/конфигурации, а затем действует соответствующим образом», — объясняет BlueVoyant.
«Использование записей DNS MX помогает трафику сливаться с общим и может обходить средства контроля, настроенные на обнаружение DNS-туннелирования на основе TXT, которое может отслеживаться более часто».
BlueVoyant заявляет, что двумя целями этой кампании являются финансовое учреждение в Канаде и глобальная организация здравоохранения.
Исследователи с умеренной или высокой степенью уверенности оценивают, что кампания представляет собой эволюцию тактик, методов и процедур, связанных с группировкой вымогателей BlackBasta, которая прекратила свое существование после утечки внутренних журналов чата операции.
Хотя существует множество совпадений, BlueVoyant отмечает, что использование подписанных MSI и вредоносных DLL, полезная нагрузка A0Backdoor и использование C2-коммуникаций на основе DNS MX являются новыми элементами.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas