W minionym tygodniu ostrzegaliśmy przed kampanią malware, w ramach której rozsyłanie szkodliwych wiadomości odbywało się przy użyciu przejętych serwerów pocztowych1. Charakterystyczną cechą kampanii było wykorzystanie przejętych serwerów w kontekście techniki reply-chain. Polega ona na rozsyłaniu wiadomości z historią konwersacji w treści, co sprawia wrażenie, że jest to kontynuacja korespondencji. W rezultacie niczego nieświadomy odbiorca może otrzymać np. wiadomość dystrybuującą złośliwe oprogramowanie, pochodzącą (jak mu się wydaje) od zaufanego nadawcy. Potencjalnymi wektorami ataku, umożliwiającymi nieautoryzowany dostęp do serwera mogą być podatności np. ProxyShell, czy ProxyLogon2. Sama dystrybucja złośliwego archiwum prowadzącego do pobrania QakBota może odbywać się na kilka sposobów. Wśród nich znajdziemy wiadomość zawierającą złośliwy link, e-mail z niebezpiecznym załącznikiem, jak również umieszczony w wiadomości element graficzny wyświetlający szkodliwy adres URL3.
[1] Jedna z przykładowych wiadomości rozsyłanych w ramach opisywanej kampanii
Złośliwe pliki Microsoft Office Excel
Rozsyłane wiadomości pocztowe, w których znajdują się linki URL, prowadzą do pobrania złośliwego oprogramowania, dystrybuowanego zazwyczaj w formie archiwum ZIP.
Przy każdorazowym pobraniu, nawet z tego samego adresu URL, możemy otrzymać plik o innej sumie kontrolnej, co skutecznie utrudnia wykrywanie oparte o sygnatury.W każdym archiwum znajduje się jeden plik formatu Microsoft Excel z rozszerzeniem .xlsb.
[3] Zawartość pobranego archiwum po rozpakowaniu
Otwarcie dokumentu skutkuje wyświetleniem elementu graficznego, którego zadaniem jest przekonanie użytkownika o zabezpieczeniu pliku przez Microsoft Office. Aby wyświetlić pełną treść dokumentu, potencjalna ofiara musi włączyć obsługę makr.
[4] Widok po otwarciu pliku XLSB
Włączenie makr skutkuje uruchomieniem makra XLM (Excel 4.0). Niebezpieczne makro wyzwalane jest przez zdarzenie auto_otwieranie (ang. auto_open), które odwołuje się do jednego z ukrytych arkuszy zawierających złośliwy kod.
[5] Okno menedżera nazw wskazujące lokalizację niebezpiecznego kodu
[6] Nazwy ukrytych arkuszy w złośliwym pliku XLSB
[7,8] Fragmenty arkusza zawierające kod z odwołaniami do złośliwych elementów
Za pomocą wywołania funkcji Kernel32.CreateDirectoryA("C:\Datop") tworzony jest folder Datop w lokalizacji C:, do którego następnie, przy użyciu funkcji URLDownloadToFileA(), pobierane są 3 pliki o nazwach besta.ocx, bestb.ocx i bestc.ocx.
[9] Formuła wywoływana przez złośliwe makro
[10] Uruchamiana formuła wywołująca funkcje systemowe
Część analizowanych próbek pobiera pliki do lokalizacji C:\ProgramData. Zaobserwować można także pliki o nazwach sun1.ocx, sun2.ocx i sun3.ocx pobierane do folderu C:\Jambo
Charakterystyczna nazwa folderu Datop wskazuje, że złośliwe makro może być potencjalnie identyfikowane jako DatopLoader (Squirrelwaffle)4. Pobrane pliki są bibliotekami DLL ładowanymi przy użyciu regsvr32.exe i po każdorazowym pobraniu posiadają inną sumę kontrolną.
[11] Uruchamiana formuła wywołująca funkcję z bibliotek systemowych
Payload
Złośliwy skrypt XLM 4.0 uruchamia pobrane wcześniej biblioteki, czyniąc regsvr32.exe procesem podrzędnym wobec EXCEL.EXE. Kolejny krok stanowi wywołanie pliku msra.exe z poziomu złośliwej biblioteki DLL.
[12] Proces msra.exe tworzy w systemowym harmonogramie zadanie, którego celem jest jednorazowe wykonanie kolejnej instancji tego samego złośliwego kodu.
[13] Zadanie utworzone przez złośliwy plik
Uruchamiane pliki to szkodliwe oprogramowanie Qakbot (znane także jako QBot i Quakbot).
W kampanii bierze udział m.in. botnet o nazwie „tr”, a jedną z kampanii jest kampania o id „1638786109”.
Zapobieganie Infekcji
Dystrybucja i instalacja złośliwego oprogramowania poprzez pliki pakietu Office ze złośliwymi makrami to jeden z najpopularniejszych wektorów ataku. Opisywana ofensywa wycelowana w odbiorcę zainfekowanej wiadomości e-mail może dokonywać się z wykorzystaniem techniki reply-chain i przejętych serwerów poczty. Dlatego zachęcamy do zachowania szczególnej ostrożności, nawet jeżeli korespondencja została wysłana z adresu zaufanego nadawcy.