Peneliti keamanan siber telah mengungkapkan rincian malware BackConnect (BC) baru yang dikembangkan oleh pelaku ancaman yang terkait dengan pemuat QakBot yang terkenal.
“BackConnect adalah fitur atau modul umum yang digunakan oleh pelaku ancaman untuk mempertahankan persistensi dan melakukan tugas,” kata tim Cyber Intelligence Walmart kepada The Hacker News. “BackConnect yang digunakan adalah 'DarkVNC' bersama IcedID BackConnect (KeyHole).”
Perusahaan mencatat bahwa modul BC ditemukan pada infrastruktur yang sama yang diamati mendistribusikan pemuat malware lain yang disebut ZLoader, yang baru-baru ini diperbarui untuk menggabungkan terowongan Sistem Nama Domain (DNS) untuk komunikasi perintah dan kontrol (C2).
QakBot, juga disebut QBot dan Pinkslipbot, mengalami kemunduran operasional besar pada tahun 2023 setelah infrastrukturnya disita sebagai bagian dari upaya penegakan hukum terkoordinasi bernama Duck Hunt. Sejak itu, kampanye sporadis yang menyebarkan malware tersebut terungkap.
Awalnya dirancang sebagai trojan perbankan, kemudian diadaptasi menjadi pemuat yang mampu mengirimkan muatan tahap berikutnya ke sistem target seperti ransomware. Fitur penting dari QakBot, bersama dengan IcedID, adalah modul BC-nya yang menawarkan kepada pelaku ancaman kemampuan untuk menggunakan host sebagai proxy, serta menawarkan saluran akses jarak jauh melalui komponen VNC yang tertanam.
Analisis Walmart mengungkapkan bahwa modul BC, selain berisi referensi ke sampel QakBot lama, telah ditingkatkan dan dikembangkan lebih lanjut untuk mengumpulkan informasi sistem, kurang lebih bertindak sebagai program otonom untuk memfasilitasi eksploitasi lanjutan.
“Dalam hal ini malware yang kita bicarakan adalah pintu belakang mandiri yang memanfaatkan BackConnect sebagai media yang memungkinkan pelaku ancaman memiliki akses keyboard,” kata Walmart. “Perbedaan ini semakin jelas karena fakta bahwa pintu belakang ini mengumpulkan informasi sistem.”
Malware BC juga telah menjadi subjek analisis independen oleh Sophos, yang mengaitkan artefak tersebut dengan kelompok ancaman yang dilacaknya sebagai STAC5777, yang kemudian tumpang tindih dengan Storm-1811, kelompok penjahat dunia maya yang dikenal menyalahgunakan Quick Assist untuk Black Basta. penyebaran ransomware dengan menyamar sebagai personel dukungan teknis.
Perusahaan keamanan siber asal Inggris tersebut mencatat bahwa STAC5777 dan STAC5143 – sebuah kelompok ancaman yang mungkin terkait dengan FIN7 – telah melakukan pengeboman email dan Microsoft Teams mencari calon target dan mengelabui mereka agar memberikan penyerang akses jarak jauh ke komputer mereka melalui Quick Assist atau buatan Teams. -dalam berbagi layar untuk menginstal pintu belakang Python dan ransomware Black Basta.
“Kedua pelaku ancaman mengoperasikan penyewa layanan Microsoft Office 365 mereka sendiri sebagai bagian dari serangan mereka dan memanfaatkan konfigurasi default Microsoft Teams yang memungkinkan pengguna di domain eksternal untuk memulai obrolan atau pertemuan dengan pengguna internal,” kata Sophos.
Karena operator Black Basta sebelumnya mengandalkan QakBot untuk menyebarkan ransomware, munculnya modul BC baru, ditambah dengan fakta bahwa Black Basta juga telah mendistribusikan ZLoader dalam beberapa bulan terakhir, memberikan gambaran ekosistem kejahatan dunia maya yang sangat saling berhubungan di mana para pengembang berada di baliknya. QakBot kemungkinan mendukung tim Black Basta dengan alat baru, kata Walmart.
