Вредоносные программы Qbot, Lokibot снова переключились на доставку Windows Regsvr32

DDoS-атак

Распространители вредоносного ПО прибегли к старому трюку, известному как Squiblydoo, для распространения Qbot и Lokibot через документы Microsoft Office с помощью regsvr32.exe.

Отчет группы исследования угроз аналитической платформы Uptycs показывает, что использование regsvr32.exe участилось в последние пару месяцев, причем через различные форматы документов, но в основном через файлы Excel.

Внезапное внимание к этой конкретной утилите командной строки объясняется тем, что она позволяет угрозам обходить блокировку приложений, которая может положить конец цепочке заражения.

Данные телеметрии, собранные с клиентов Uptyck, показывают, что в декабре 2021 года было зафиксировано большинство случаев злоупотребления резидентным инструментом Windows, но высокие показатели сохранились и в 2022 году.

Возвращение «Squiblydoo»

regsvr32 — это утилита командной строки Windows, используемая для регистрации и снятия с регистрации OLE (DLL и элементов управления ActiveX) в реестре.

Угрожающие лица используют утилиту не для внесения изменений в реестр, а для загрузки COM-скриптов из удаленного источника с помощью DLL (scrobj.dll).

Для этого они используют regsvr32 для регистрации файлов OCX, которые представляют собой специализированные программные модули, способные вызывать готовые компоненты, такие как DLL.

Эта техника называется «Squiblydoo», и она используется в операциях по уничтожению вредоносного ПО с 2017 года. Тогда исследователи ESET впервые заметили ее в кампании, направленной на цели в Бразилии.

В текущей кампании субъекты угроз используют файлы документов Excel, Word, RTF и составных документов с вредоносными макросами, которые запускают regsvr32 в качестве дочернего процесса.

Эти документы обычно распространяются с помощью фишинговых кампаний, хотя они также могут быть занесены с помощью «слепых» атак SEO poisoning.

Смешивание

Вышеописанный метод обеспечивает хорошую защиту от вредоносной нагрузки, поскольку regsvr32 — это инструмент Windows, используемый для выполнения множества рутинных операций.

Таким образом, решения безопасности с меньшей вероятностью смогут уловить угрозу и вмешаться, чтобы прервать цепочку заражения.

Кроме того, использование удаленных COM-сценариев позволяет злоумышленникам загружать вредоносные программы без файлов; а поскольку эти полезные нагрузки запускаются из документа, шансы обнаружить их ниже.

Чтобы помочь защитникам, компания Uptyck поделилась списком индикаторов компрометации, которые можно использовать для целенаправленного поиска угроз, на этом репозитории GitHub.

Последнее обновление 05.01.2023