Hackeri používajú Squirrelwaffle Loader na nasadenie Qakbota a Cobalt Strike

Nová spamová e-mailová kampaň sa objavila ako kanál pre predtým nezdokumentovaný zavádzač škodlivého softvéru, ktorý útočníkom umožňuje získať počiatočnú oporu v podnikových sieťach a preniesť škodlivé zaťaženie na napadnuté systémy.

„Tieto infekcie sa tiež používajú na uľahčenie doručovania ďalšieho malvéru, ako sú Qakbot a Cobalt Strike, dve z najbežnejších hrozieb, ktoré sa pravidelne zameriavajú na organizácie po celom svete,“ uviedli vedci z Cisco Talos v technickom zázname.

Predpokladá sa, že kampaň za malspam sa začala v polovici septembra 2021 prostredníctvom čipkovaných dokumentov balíka Microsoft Office, ktoré po otvorení spúšťajú infekčný reťazec, ktorý vedie k infikovaniu počítačov škodlivým softvérom. VEVERIČKA.

Najnovšia operácia, ktorá odzrkadľuje techniku, ktorá je v súlade s inými phishingovými útokmi tohto druhu, využíva ukradnuté e-mailové vlákna, aby im poskytla závoj legitimity a prinútila nič netušiacich používateľov, aby otvorili prílohy.

A čo viac, jazyk použitý v odpovediach sa zhoduje s jazykom použitým v pôvodnom e-mailovom vlákne, čo demonštruje prípad dynamickej lokalizácie zavedenej na zvýšenie pravdepodobnosti úspechu kampane. Prvých päť jazykov používaných na dodanie nakladača je angličtina (76 %), po ktorej nasleduje francúzština (10 %), nemčina (7%), holandčina (4%) a poľština (3%).

Objemy distribúcie e-mailov, ktoré využívajú novú hrozbu, dosiahli vrchol okolo 26. septembra na základe údajov zhromaždených firmou zaoberajúcou sa kybernetickou bezpečnosťou.

Zatiaľ čo predtým napadnuté webové servery, na ktorých bežia predovšetkým verzie redakčného systému WordPress (CMS), fungujú ako infraštruktúra na distribúciu škodlivého softvéru, zaujímavou pozorovanou technikou je použitie skriptov „antibot“ na blokovanie webových požiadaviek, ktoré pochádzajú z adries IP, ktoré nepatria obete, ale skôr automatizované analytické platformy a organizácie pre výskum bezpečnosti.

Nakladač malvéru okrem nasadenia Qakbota a neslávne známeho nástroja na testovanie prieniku Cobalt Strike na infikovaných koncových bodoch tiež nadväzuje komunikáciu so vzdialeným serverom ovládaným útočníkom na získanie sekundárnych dát, čo z neho robí účinný viacúčelový nástroj.

„Po odstránení botnetu Emotet začiatkom tohto roka zapĺňajú túto medzeru aktéri kriminálnych hrozieb,“ poznamenal Zscaler v analýze rovnakého malvéru minulý mesiac. “SQUIRRELWAFFLE sa javí ako nový nakladač využívajúci túto medzeru. Zatiaľ nie je jasné, či je SQUIRRELWAFFLE vyvinutý a distribuovaný známym aktérom hrozby alebo novou skupinou. Podobné distribučné techniky však predtým používala spoločnosť Emotet.”