PikaBOT ender med BlackBasta ransomware

2023-12-13

Crime as a Service, PikaBOT (arvtager til QakBOT) har her til morgen igangsat en spamkampagne, der i lighed med tidligere spambølger, gør brug af "reply chain" teknik.

Den skadelige kode introduceres igennem et vedhæftet PDF dokument f.eks. DICTAR.pdf. Hvis dokumentet åbnes, så laves der social engineering, så brugeren skal lokkes til at klikke på indholdet. Det vil returnere et zip arkiv fra flere URLs, f.eks. (saniteret)

https://grabpanda[.]com/ld/?[unikt ID]

Zip arkivet indeholder, hvis det udpakkes, en .js filen som hvis køres vil spawne "wscript.exe". Det igangsætter den kæde af kommandoer, som ender med at hente og køre PikaBOT fra følgende domæner:

martenesid[.]com
lorented[.]com
frasana[.]com
filersed[.]com
kelsoret[.]com
fertelion[.]com
orionparti[.]com
limperus[.]com

PikaBOT forbinder sig herefter til en stribe tier-1 C&Cs, hvor den kompromitterede Windows maskine indrulles og supplerende malware leveres. Det kunne bl.a. være SystemBC og Cobalt Strike. Når Cobalt Strike er leveret misbruges en stribe værktøjer til at gennemføre lateral bevægelse med henblik på data eksfiltration og ransomware distribution.

PikaBOT og BlackBasta ransomware
I løbet af den seneste uge har følgende domæner været aktive i forbindelse med Black Basta Cobalt Strike C&Cs (saniteret)

realeinvestment[.]net
cloudwebstart[.]net
businesforhome[.]com
magementfair[.]com
mytrailinvest[.]net
settingfir[.]com
blocknowtech[.]net
gift4animals[.]com
ionoslaba[.]com
buyadvisershop[.]net

De to seneste er følgende (saniteret)

getfnewssolutions[.]com
allcompanycenter[.]com

Som det fremgår af nedenstående diagram hænger de tæt sammen med PikaBOT payloads:

Trafik til ovenstående domæner bør undersøges som en potentielt alvorlig hændelse.

BlackBasta SHA256 IoCs:
fe01abbcec8b6de272ac86fcd7098bba0ff5ab5e56c6003711ea0d76a650358f
37eb05a550fdf396495c9c26f367039611e893208a22a470e70527b1625f8cde
3d84775ecf4234b15d8a70a1f8e84d52ec44c5cd38a8db95708711c2bb829426