27/04/22
Программа-вымогатель Quantum, впервые обнаруженная в августе 2021 года, была использована в быстрых сетевых атаках. Злоумышленники использовали вредоносное ПО IcedID в качестве одного из своих первоначальных векторов доступа, которое развертывает Cobalt Strike для удаленного доступа и приводит к краже данных и шифрованию с помощью Quantum.
Специалисты The DFIR Report проанализировали атаки программы-вымогателя Quantum. Атака длилась всего 3 часа 44 минуты с момента первоначального заражения до завершения шифрования устройств. В ходе атаки было использовано вредоносное ПО IcedID в качестве начального доступа к системе жертвы. Предположительно, вредонос был установлен злоумышленниками через фишинговое электронное письмо, содержащее вложенный ISO-файл.
IcedID — модульный банковский троян, используемый в течение последних пяти лет в основном для развертывания полезной нагрузки второго этапа, загрузчиков и программ-вымогателей. Комбинация IcedID и ISO-архивов часто используется в ходе кибератак, поскольку подобные файлы способны обойти защитные решения электронной почты.
Через два часа после первоначального заражения злоумышленники внедрили Cobalt Strike в процесс C:\Windows\SysWOW64\cmd.exe с целью избежать обнаружения. На этом этапе преступники похитили учетные данные домена Windows, сбросив память LSASS, и распространились по сети. Затем хакеры продолжили устанавливать RDP-подключения к другим серверам в среде.
После того как преступники получили представление о структуре домена, они подготовились к развертыванию программы-вымогателя, скопировав программу (с именем ttsel.exe) на каждую систему через общую папку C$. В конце концов злоумышленники использовали WMI и PsExec для развертывания полезной нагрузки программы-вымогателя Quantum и шифрования устройств.
