BlackCat ransomware pushes Cobalt Strike via WinSCP search ads
การโจมตี BlackCat ที่ Trend Micro สังเกตได้นั้นเริ่มต้นจากการที่เหยื่อค้นหา WinSCP Download บน Bing หรือ Google และได้รับการส่งเสริมผลลัพธ์ที่เป็นอันตรายซึ่งอยู่ในอันดับที่สูงกว่าไซต์ดาวน์โหลด WinSCP ที่ปลอดภัย เหยื่อคลิกที่โฆษณาเหล่านั้นและเยี่ยมชมเว็บไซต์ที่มีบทช่วยสอนเกี่ยวกับการถ่ายโอนไฟล์อัตโนมัติโดยใช้ WinSCP
เมื่อดำเนินการ setup.exe แล้ว มันจะเรียก msi.dll ซึ่งจะแยกโฟลเดอร์ Python ออกจากส่วน DLL RCDATA ในภายหลังในฐานะตัวติดตั้งจริงสำหรับ WinSCP ที่จะติดตั้งในเครื่อง รายงาน Trend Micro อธิบาย กระบวนการนี้ยังติดตั้ง python310.dll ที่ถูกโทรจันและสร้างกลไกการคงอยู่โดยการสร้างคีย์เรียกใช้ชื่อ Python และค่า C:UsersPublicMusicpythonpythonw.exe
นักวิเคราะห์ของ Trend Micro สังเกตเห็นว่าผู้ให้บริการ ALPHV ใช้เครื่องมือต่อไปนี้ในระยะต่อๆ ไป: • AdFind : เครื่องมือบรรทัดคำสั่งที่ใช้สำหรับดึงข้อมูล Active Directory (AD) • คำสั่ง PowerShellใช้สำหรับรวบรวมข้อมูลผู้ใช้ แตกไฟล์ ZIP และเรียกใช้สคริปต์ • AccessChk64 : เครื่องมือบรรทัดคำสั่งที่ใช้สำหรับการสำรวจสิทธิ์ของผู้ใช้และกลุ่ม • Findstr : เครื่องมือบรรทัดคำสั่งที่ใช้สำหรับค้นหารหัสผ่านภายในไฟล์ XML • PowerView : สคริปต์ PowerSploit ที่ใช้ในการสำรวจและการแจงนับ AD • สคริปต์ Pythonที่ใช้สำหรับเรียกใช้เครื่องมือกู้คืนรหัสผ่าน LaZagne และรับข้อมูลประจำตัวของ Veeam
https://www.bleepingcomputer.com/news/security/blackcat-ransomware-pushes-cobalt-strike-via-winscp-search-ads/