Badacze alarm dźwiękowy na Niebezpieczny BatLoader Malware Dropper

Niebezpieczny nowy program ładujący złośliwe oprogramowanie z funkcjami określającymi, czy znajduje się on w systemie biznesowym, czy na komputerze osobistym, zaczął szybko infekować systemy na całym świecie w ciągu ostatnich kilku miesięcy.

Badacze z VMware Carbon Black śledzą zagrożenie, nazwane BatLoader, i twierdzą, że jego operatorzy używają droppera do dystrybucji różnych złośliwych narzędzi, w tym trojana bankowego, złodzieja informacji i zestawu narzędzi do post-exploit Cobalt Strike w systemach ofiar. Taktyka cyberprzestępcy polegała na umieszczeniu złośliwego oprogramowania na zaatakowanych stronach internetowych i zwabieniu użytkowników do tych stron za pomocą metod zatruwania optymalizacji pod kątem wyszukiwarek (SEO).

Życie poza ziemią

BatLoader polega w dużej mierze na skryptach wsadowych i PowerShell, aby uzyskać wstępną kontrolę nad maszyną ofiary i pobrać na nią inne złośliwe oprogramowanie. To stworzyło kampanię trudne do wykrycia i zablokowania, zwłaszcza na wczesnych etapach, analitycy z zespołu Managed Detection and Reaction (MDR) firmy VMware Carbon Black powiedzieli w raporcie opublikowanym 14 listopada.

VMware powiedział, że jego zespół Carbon Black MDR zaobserwował 43 udane infekcje w ciągu ostatnich 90 dni, oprócz wielu innych nieudanych prób, w których ofiara pobrała początkowy plik infekcji, ale go nie uruchomiła. Dziewięć ofiar to organizacje z sektora usług biznesowych, siedem to firmy świadczące usługi finansowe, a pięć to firmy produkcyjne. Inne ofiary to organizacje z sektora edukacji, handlu detalicznego, IT i opieki zdrowotnej.

9 listopada eSentire poinformowało, że jego zespół zajmujący się poszukiwaniem zagrożeń zaobserwował, jak operator BatLoadera wabi ofiary na strony internetowe udające strony pobierania popularnego oprogramowania biznesowego, takiego jak LogMeIn, Zoom, TeamViewer i AnyDesk. Aktor cyberprzestępczy rozpowszechniał łącza do tych witryn za pośrednictwem reklam wyświetlanych w widocznym miejscu w wynikach wyszukiwania gdy użytkownicy szukali dowolnego z tych produktów oprogramowania.

Dostawca zabezpieczeń powiedział, że w jednym incydencie pod koniec października klient eSentire odwiedził fałszywą stronę pobierania LogMeIn i pobrał instalator Windows, który między innymi profiluje system i wykorzystuje informacje do pobrania ładunku drugiego etapu.

„To, co sprawia, że ​​BatLoader jest interesujący, to to, że ma wbudowaną logikę, która określa, czy komputer ofiary jest komputerem osobistym, czy firmowym” — mówi Keegan Keplinger, kierownik badań i raportów w zespole badawczym TRU firmy eSentire. „Następnie upuszcza rodzaj złośliwego oprogramowania odpowiedni do sytuacji”.

Selektywna dostawa ładunku

Na przykład, jeśli BatLoader trafi na komputer osobisty, pobiera złośliwe oprogramowanie bankowe Ursnif i narzędzie do kradzieży informacji Vidar. Jeśli trafi na komputer przyłączony do domeny lub komputer firmowy, pobiera Cobalt Strike i narzędzie do zdalnego monitorowania i zarządzania Syncro, oprócz trojana bankowego i narzędzia do kradzieży informacji.

„Jeśli BatLoader wyląduje na komputerze osobistym, będzie kontynuował oszustwa, kradzież informacji i ładunki bankowe, takie jak Ursnif”, mówi Keegan. „Jeśli BatLoader wykryje, że znajduje się w środowisku organizacyjnym, użyje narzędzi do włamań, takich jak Cobalt Strike i Syncro”.

Keegan mówi, że eSentire zaobserwował „wiele” ostatnich cyberataków z udziałem BatLoadera. Większość ataków ma charakter oportunistyczny i uderza w każdego, kto szuka zaufanych i popularnych bezpłatnych narzędzi programowych. 

„Aby dotrzeć do organizacji, BatLoader wykorzystuje zatrute reklamy, dzięki czemu gdy pracownicy szukają zaufanego bezpłatnego oprogramowania, takiego jak LogMeIn i Zoom, lądują na stronach kontrolowanych przez atakujących, dostarczając BatLoader”.

Pokrywa się z Conti, ZLoader

VMware Carbon Black powiedział, że chociaż istnieje kilka unikalnych aspektów kampanii BatLoader, istnieje również kilka atrybutów łańcucha ataków, które są podobne do Działanie oprogramowania ransomware Conti. 

Nakładanie się obejmuje adres IP, który grupa Conti wykorzystała w kampanii wykorzystującej lukę Log4j, oraz użycie narzędzia do zdalnego zarządzania o nazwie Atera, którego Conti używał w poprzednich operacjach. 

Oprócz podobieństw z Conti, BatLoader ma również kilka wspólnych cech Zloader, trojan bankowy który wydaje się pochodzić od trojana bankowego Zeus z początku 2000 roku, powiedział dostawca zabezpieczeń. Największe podobieństwa obejmują wykorzystanie zatruwania SEO w celu zwabienia ofiar na strony pełne złośliwego oprogramowania, użycie Instalatora Windows do ustanowienia początkowego przyczółka oraz użycie PowerShell, skryptów wsadowych i innych natywnych plików binarnych systemu operacyjnego podczas łańcucha ataków.

Mandiant jako pierwszy poinformował o BatLoader. W lutowym poście na blogu producent zabezpieczeń poinformował, że obserwuje cyberprzestępcę wykorzystującego motywy „instalacji bezpłatnych aplikacji zwiększających produktywność” i „instalacji bezpłatnych narzędzi programistycznych” jako słów kluczowych SEO, aby zachęcić użytkowników do pobierania witryn. 

„Ten początkowy kompromis dotyczący BatLoadera był początek wieloetapowego łańcucha infekcji który zapewnia atakującym przyczółek wewnątrz docelowej organizacji” – powiedział Mandiant. Atakujący wykorzystali każdy etap do skonfigurowania kolejnej fazy łańcucha ataków przy użyciu narzędzi takich jak PowerShell, Msiexec.exe i Mshta.exe w celu uniknięcia wykrycia.