Online criminelen worden creatiever met 'building block style' aanvallen

BELANGRIJKSTE BEVINDINGEN

De QakBot-spamactiviteit steeg enorm in het tweede kwartaal, met in totaal 56 campagnes gedurende het kwartaal. De distributeurs van de malware wisselden tussen vele combinaties van bestandstypen om pc's te infecteren. Het HP Threat Research-team identificeerde 18 unieke infectieketens die in het tweede kwartaal door QakBot-distributeurs werden gebruikt, en benadrukte hoe capabele aanvallers snel hun vaardigheden inzetten om gaten in de netwerkverdediging te misbruiken.

HP Wolf Security stopte in het tweede kwartaal een golf van kwaadaardige spamcampagnes met financiële thema's, waarbij Remote Access Trojans (RAT's) werden verspreid die waren versleuteld met behulp van een Go-crypter genaamd "ShellGo". De malware werd tweemaal ingepakt om detectie te omzeilen, voordat er shellcode in het geheugen werd uitgevoerd die Windows-beveiligingsfuncties uitschakelt en AsyncRAT start. De bedreigingsacteur gebruikte een slimme techniek om de RAT in het geheugen te laten draaien via een complexe reeks functieaanroepen naar .NET-bibliotheken. De activiteit laat zien hoe gemakkelijk het is voor dreigingsactoren om instrumenten te combineren om detectie en analyse te dwarsbomen, zelfs degenen die over weinig middelen beschikken

Aggah blijft zijn tactieken, technieken en procedures (TTP's) ontwikkelen om detectie te omzeilen. Met name in campagnes in het tweede kwartaal zagen we dat deze bedreigingsacteur kwaadaardige PowerShell-opdrachten opsloeg in DNS TXT-records die werden opgehaald via nslookup-opdrachten.

Download het rapport: HP Wolf Security Threat Insights Report Q2 2023.