LightBot: новое вредоносное ПО TrickBot для разведки важных целей

trickbot-header.jpg
Пресловутая банда TrickBot выпустила новый легкий инструмент разведки, используемый для обнаружения в сети зараженной жертвы важных целей.
На прошлой неделе исследователи безопасности начали замечать фишинговую кампанию, обычно используемую для распространения вредоносного ПО TrickBot BazarLoader, переключающегося на установку нового вредоносного сценария PowerShell.

tweet.jpg

Как и фишинговые кампании BazarLoader, фишинговые электронные письма LightBot якобы отправлены сотрудниками отдела кадров или юридическим отделом в связи с жалобой клиента или увольнением получателя.
Как видно из электронного письма LightBot, отправленного на мой адрес электронной почты, они содержат ссылки на документ на Meet Google Drive – One place for all your files.

phishing-campaign-email.jpg

Фишинговое письмо LightBot отправлено на BleepingComputer

Когда пользователи нажимают на встроенную ссылку, они попадают на страницу Документов Google, на которой указано «Предварительный просмотр отключен» и предлагается загрузить файл вместо этого.

google-drive-preview.jpg

Целевая страница Документов Google

Загруженный файл представляет собой файл JavaScript, который запускает сценарий LightBot PowerShell.

LightBot: легкий инструмент для разведки​

Этот сценарий PowerShell, получивший название LightBot от Advanced Intel Виталий Кремез , представляет собой легкий инструмент разведки, который собирает информацию о сети жертвы, чтобы определить, являются ли они ценными и должны ли они стать объектом дальнейших атак.
"Новая группа TrickBot" LightBot "представляет собой сценарий разведки PowerShell, используемый той же группой, связанной с высокоуровневыми программами-вымогателями и инцидентами взлома, связанными с Universal Health Service (UHS). LightBot ориентирован на разведку важных целей через сеть и активную каталог (аналогично сценарию профилировщика разведки FIN7) ".

«Мы подозреваем, что LightBot используется в качестве еще одного средства (поверх легкого скрытого BazarBackdoor) для подбора целей вымогателя Ryuk через цепочку уничтожения программ-вымогателей Cobalt Strike для анализа сети / домена Ryuk», - сказал Кремез в разговоре с BleepingComputer.

Узнав и получив фишинговое электронное письмо, предлагающее этот новый скрипт, BleepingComputer проанализировал инструмент, чтобы определить, какая информация собирается во время его работы.

Когда выполняется сценарий LightBot PowerShell, он будет повторно подключаться к серверу управления и контроля (C2) для получения дополнительных сценариев PowerShell для выполнения и для отправки данных, собранных во время предыдущих запусков.

fiddler.jpg

Fiddler показывает подключения LightBot к C2

Сценарии, отправляемые с C2, одинаковы, но содержат разные команды для сбора данных, желаемых злоумышленниками. Например, ниже вы можете увидеть сценарий, используемый для сбора информации о конфигурации IP-адреса компьютера и домене Windows.

ps-script.jpg

Пример сценария PowerShell, используемого для сбора информации о домене

В результате выполнения вредоносного скрипта LightBot собирает следующие данные:
  • Имя компьютера
  • Информация об оборудовании
  • Имя пользователя
  • Версия для Windows
  • Список контроллеров домена Windows
  • Имя основного контроллера домена (PDC)
  • Настроенный IP-адрес
  • Домен DNS
  • Тип сетевой карты
  • Список установленных программ
В рамках этого процесса сценарии также создадут два файла в папке% Temp%. Первый - это текстовый файл, содержащий зашифрованную строку в кодировке base64, а второй файл - это сценарий PowerShell, который декодирует строку base64 и выполняет ее.
Этот сценарий PowerShell запускается каждый день в 7 утра с помощью созданного запланированного задания.

scheduled-task.jpg

Запланированная задача для запуска скрипта

C2 сгенерировал ошибку при загрузке зашифрованного сценария PowerShell, поэтому неизвестно, какие действия выполняет эта запланированная задача. Считается, что это метод настойчивости.
После выполнения начальных команд, отправленных C2, LightBot продолжит работу в фоновом режиме и будет регулярно подключаться к C2 для новых команд.

В прошлом месяце Microsoft и другие охранные фирмы провели скоординированную ликвидацию TrickBot , что повлияло на их работу. Однако эта непрерывная эволюция новых инструментов показывает адаптируемость и устойчивость хакерской группы.
Всем администраторам следует внимательно следить за фишинговыми кампаниями LightBot, поскольку конечным результатом, скорее всего, будет атака программ-вымогателей Ryuk или Conti во всей сети.


Перевод с английского - Google


 
Назад
Сверху Снизу