Blog

Inside the SOC

The resurgence of the raccoon: Steps of a Raccoon Stealer v2 Infection (Part 2)

Default blog imageDefault blog imageDefault blog imageDefault blog imageDefault blog imageDefault blog image
08
Nov 2022
08
Nov 2022

Raccoon Stealerマルウェア

2022年5月にRaccoon Stealerのバージョン2がリリースされて以来、Darktraceは、クライアントベースで大量のRaccoon Stealer v2感染を観測しています。ユーザーのデバイスに保存された機密データを取得し、その後流出させようとするこの情報ステーラーは、実行されると予測可能なネットワーク活動のパターンを表示します。本ブログでは、この活動パターンの詳細を紹介し、セキュリティチームが自ネットワーク内でRaccoon Stealer v2感染のネットワークベースの兆候を認識できるようにすることを目的としています。 

What is Raccoon Stealer?

Raccoon Stealerは情報窃取マルウェアの典型的な例で、サイバー犯罪者は通常、ユーザーのブラウザや暗号通貨ウォレットに保存された機密データを入手するために使用します。ブラウザの場合、標的となるデータには通常、クッキー、保存されたログイン情報、保存されたクレジットカード情報などが含まれます。暗号通貨ウォレット(以下、「クリプトウォレット」)の場合、標的となるデータには通常、公開鍵、秘密鍵、シードフレーズが含まれる[1]。機密性の高いブラウザや暗号ウォレットのデータがサイバー犯罪者の手に渡ると、個人情報の窃盗、暗号通貨の窃盗、クレジットカード詐欺などの有害な行為に利用される可能性が高いです。

Raccoon Stealerの入手方法を教えてください。

Raccoon Stealerは、多くの情報窃取ソフトと同様に、購入することができます。Raccoon Stealerの運営者は、Raccoon Stealerのサンプルを顧客(「アフィリエイト」と呼ばれる)に販売し、顧客はinfo-stealerを使用して、ユーザーのデバイスに保存された機密データを入手します。Raccoon Stealerのアフィリエイトは、通常、無料またはクラックされたソフトウェアを提供するSEOプロモーションのウェブサイトを通じてサンプルを配布しています。 

Raccoon Stealerはまだ現役か?

On the 25th of March 2022, the operators of Raccoon Stealer announced that they would be suspending their operations because one of their core developers had been killed during the Russia-Ukraine conflict [2]. The presence of the hardcoded RC4 key ‘edinayarossiya’ (Russian for ‘United Russia’) within observed Raccoon Stealer v2 samples [3] provides potential evidence of the Raccoon Stealer operators’ allegiances.

米国司法省が共有した最近の詳細によると、Raccoon Stealerチームが業務を停止するに至ったのは、実際にはオペレーターの死亡ではなく、逮捕であったことが判明しています。2022年3月にFBIがイタリアとオランダの法執行機関のパートナーとともにRaccoon Stealerのインフラを解体した結果、Raccoon Stealerチームは新しいバージョンの情報盗み出しツールを構築せざるを得なくなりました。  

On the 17th May 2022, the completion of v2 of the info-stealer was announced on the Raccoon Stealer Telegram channel [7].  Since its release in May 2022, Raccoon Stealer v2 has become extremely popular amongst cybercriminals. The prevalence of Raccoon Stealer v2 in the wider landscape has been reflected in Darktrace’s client base, with hundreds of infections being observed within client networks on a monthly basis.   

DarktraceのSOCが2022年5月22日にRaccoon Stealer v2の感染を初めて確認して以来、情報窃取はいくつかの微妙な変化を遂げてきました。しかし、情報窃取の一般的なネットワーク活動のパターンは基本的に変わっていません。  

Raccoon Stealer v2 感染はどのように機能するのか?

Raccoon Stealer v2 の感染は、通常、ユーザーが SEO 対策が施された Web サイトからクラックされたソフトウェアやフリーソフトウェアをダウンロードしようとするところから始まります。これらのクラック/フリーソフトウェアWebサイトの1つからソフトウェアをダウンロードしようとすると、ユーザーのブラウザは、(通常、複数の.xyzまたは.cfdエンドポイントを経由して)ダウンロード手順を提供するページにリダイレクトされます。5月、6月、7月にDarktraceのSOCが観察したダウンロード行動のパターンの多くは、6月にAvastが報告したクラッキングされたソフトウェアのキャンペーンで観察された行動のパターンと一致しています。   

Raccoon Stealer v2をダウンロードする方法を記載するウェブページ
図1:Discord CDNでホストされているRaccoon Stealer v2サンプルへのダウンロード指示のあるウェブページ
Raccoon Stealer v2をダウンロードする方法を記載するウェブページの例
図2:BitbucketにホストされているRaccoon Stealer v2サンプルへのダウンロード指示があるウェブページの例
Raccoon Stealer v2をダウンロードする方法を記載するウェブページの例
図3:MediaFireにホストされているRaccoon Stealer v2サンプルへのダウンロード指示があるウェブページの例

ダウンロード指示ページの指示に従い、ユーザーの端末は、cdn.discordapp[.]com, mediafire[.]com, mega[.]nz, bitbucket[.]org などのファイルストレージサービスからパスワード保護されたRARファイルをダウンロードすることになります。ダウンロードしたファイルを開くと、ユーザーの端末でRaccoon Stealer v2.xが実行されます。 

感染したデバイスのイベントログ
図4:感染したデバイスのイベントログ(DarktraceのThreat Visualiserインターフェースから引用)には、デバイスが2つのクラックされたソフトウェアのウェブサイト(「crackedkey[.]org」と「crackedpc[.]co」)に連絡した後、BitbucketからRaccoon Stealer v2をダウンロードする指示を与えるウェブページ(「premiumdownload[.]org))に連絡することが示されている

Raccoon Stealer v2がデバイス上で動作すると、ターゲットURIに「/」、ユーザーエージェントに通常とは異なる文字列(record, mozzzzzzzzzzz, TakeMyPainBack など)を指定してC2サーバにHTTP POSTリクエストを送信します。このPOSTリクエストは、マシンGUID、ユーザー名、128ビットRC4キーの3つの文字列で構成されています。投稿されたデータは以下のような形式です。

machineId=X | Y & configId=Z (where X is a machine GUID, Y is a username and Z is a 128-bit RC4 key) 

ユーザーエージェントヘッダー 'record' を持つHTTP POSTリクエストを行うデバイスを示すPCAP 
図5:User Agentヘッダー 'record' を持つHTTP POSTリクエストを行うデバイスを示すPCAP 
ユーザーエージェントヘッダー 'mozzzzzzz' を持つHTTP POSTリクエストを行うデバイスを示すPCAP
図6:ユーザーエージェントヘッダー ’mozzzzzzz’ を持つHTTP POSTリクエストを行うデバイスを示すPCAP
ユーザーエージェントヘッダー 'TakeMyPainBack' を持つHTTP POSTリクエストを行うデバイスを示すPCAP
図7:ユーザーエージェントヘッダー 'TakeMyPainBack' を持つHTTP POSTリクエストを行うデバイスを示すPCAP

C2サーバーは、info-stealerのHTTP POSTリクエストに対して、カスタムフォーマットされた設定情報を応答します。これらの設定詳細は、info-stealerにダウンロードするファイル、盗むデータ、その後の流出POSTリクエストで使用するターゲットURIを指示するフィールドで構成されています。以下は、Raccoon Stealer v2サンプルによって取得された設定詳細で観測されたフィールドのリストです:

  • 'mozglue.dll' という名前の Firefox ライブラリのダウンロードアドレスを指定する'libs_mozglue' フィールド
  • 'nss3.dll'という名前のネットワークシステムサービス(NSS)ライブラリのダウンロードアドレスを指定する 'libs_nss3' フィールド 
  • libs_freebl3' フィールド。'freebl3.dll' という名前のネットワークシステムサービス(NSS)ライブラリのダウンロードアドレスを指定するものです。
  • softokn3.dll」という名前のネットワークシステムサービス(NSS)ライブラリのダウンロードアドレスを指定する「libs_softokn3」フィールドを持つ。
  • 'nssdbm3.dll'という名前のネットワークシステムサービス(NSS)ライブラリのダウンロードアドレスを指定する 'libs_nssdbm3' フィールド。
  • 'sqlite3.dll'という名前のSQLiteコマンドラインプログラムのダウンロードアドレスを指定する'libs_sqlite3'というフィールド。
  • msvcp140.dll という名前の Visual C++ ランタイムライブラリのダウンロードアドレスを指定する 'libs_ msvcp140' フィールド。
  • 'libs_vcruntime140' フィールド。'vcruntime140.dll' という名前の Visual C++ ランタイムライブラリのダウンロードアドレスを指定する。
  • ダウンロードするサンプルのフォローアップペイロードのダウンロードアドレスを指定する'ldr_1'フィールド。 
  • 'wlts_X' フィールド(X は暗号通貨ウォレットアプリケーションの名前)、これはサンプルが指定された暗号通貨ウォレットアプリケーションから取得するためのデータを指定する。
  • 'ews_X' フィールド(X は暗号財布のブラウザ拡張機能名):サンプルが指定したブラウザ拡張機能から取得するデータを指定します。
  • 'xtntns_X' フィールド(X はパスワードマネージャーブラウザ拡張の名前)、指定されたブラウザ拡張からサンプルが取得するデータを指定する
  • Telegramデスクトップアプリケーションから取得するサンプルのデータを指定する 'tlgrm_Telegram' フィールド 
  • grbr_Desktop'フィールド:サンプルが取得するローカル'Desktop'フォルダ内のデータを指定する。 
  • grbr_Documents'フィールド:サンプルが取得するローカル 'Documents' フォルダ内のデータを指定する。
  • grbr_Recent'フィールド:取得するサンプルのローカル 'Recent' フォルダ内のデータを指定する。
  • サンプルを取得するために、ローカルの 'Downloads' フォルダ内のデータを指定する 'grbr_Downloads' フィールド
  • 'sstmnfo_System Info.txt' フィールドがあり、サンプルが感染したホストのプロファイルを収集・流出させるかどうかを指定します。 
  • 'scrnsht_Screenshot.jpeg' フィールド。このフィールドは、サンプルが感染したホストのスクリーンショットを撮影して流出させるかどうかを指定します。
  • 'token' フィールド。盗まれたデータを含むHTTP POSTリクエストのターゲットURIとして、サンプルが使用する32長の16進数文字列を指定する。 

Raccoon Stealer v2は、設定データの取得後、'libs_'フィールドに指定されたライブラリファイルをダウンロードします。これらのライブラリファイルに対するHTTP GETリクエストでは、通常とは異なるユーザーエージェント文字列 (record, qwrqrwrqwrqwr, TakeMyPainBack など) が使用されています。Darktrace で見られるすべての Raccoon Stealer v2 感染において、'libs_' フィールドに指定された URL のパスは、以下の形式をとります:

/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/X (where X is the name of the targeted DLL file) 

感染したホストの詳細検索ログ
図8:感染したホストのAdvanced Searchログ(DarktraceのAdvanced Searchインターフェイスで確認)。デバイスがHTTP POSTリクエストで設定の詳細を取得し、User Agentヘッダー 'record' でHTTP GETリクエストをしてDLLファイルを取得していることがわかります。
感染したホストの詳細検索ログ
図9:感染したホストのAdvanced Searchログ(DarktraceのAdvanced Searchインターフェイスで確認)には、デバイスがHTTP POSTリクエストで構成の詳細を取得し、DLLファイルに対してUser Agentヘッダー 'qwrqrwrqwr' のHTTP GETリクエストを行っていることが示されている。
感染したホストの詳細検索ログ
図10:感染したホストのAdvanced Searchログ(DarktraceのAdvanced Searchインターフェイスで見つかる)には、デバイスがHTTP POSTリクエストで構成の詳細を取得し、DLLファイルに対してUser Agentヘッダ 'TakeMyPainBack' のHTTP GETリクエストを行っていることが示されている。

Raccoon Stealer v2は、ダウンロードしたDLLを使用して、感染したホスト上で動作しているブラウザに保存されている機密データ(クッキー、クレジットカード情報、ログイン情報など)にアクセスします。  

Raccoon Stealer v2は、設定の詳細で提供されるデータに応じて、通常、ブラウザに保存されている機密データに加え、以下の情報を取得しようとします:

  • 感染したホストにインストールされているOSやアプリケーションの情報
  • 指定された暗号資産ウォレットソフトのデータ
  • 指定された暗号資産ウォレットのブラウザ拡張機能からのデータ
  • 指定したローカルフォルダからのデータ
  • Telegram Desktopからのデータ
  • 指定されたパスワードマネージャーのブラウザ拡張機能からのデータ
  • 感染したホストのスクリーンショット 

Raccoon Stealer v2 exfiltrates the data which it obtains to its C2 server by making HTTP POST requests with unusual user-agent strings (such as ‘record’, ‘rc2.0/client’, ‘rqwrwqrqwrqw’, and ‘TakeMyPainBack’) and target URIs matching the 32-length string of hexadecimal digits specified in the ‘token’ field of the configuration details. The stolen data exfiltrated by Raccoon Stealer typically includes files named ‘System Info.txt’, ‘---Screenshot.jpeg’, ‘\cookies.txt’, and ‘\passwords.txt’. 

感染したホストの詳細検索ログ
図11:感染したホストのAdvanced Searchログ(DarktraceのAdvanced Searchインターフェイスで見つかる)には、デバイスがPOSTリクエストを介して構成の詳細を取得し、いくつかのDLLをダウンロードし、’System Info.txt' および '---Screenshot.jpeg' の名前のファイルを流出させることが示されています。
感染したホストの詳細検索ログ
図12:感染したホストのAdvanced Searchログ(DarktraceのAdvanced Searchインターフェイスで見つかる)には、デバイスがPOSTリクエストを介して構成の詳細を取得し、いくつかのDLLをダウンロードし、'System Info.txt' という名前のファイルを流出させる様子が示されています。 
感染したホストの詳細検索ログ
図13:Darktraceの Advanced Search インターフェースで見つけた感染したホストの Advanced Search ログには、デバイスが POST リクエストで設定の詳細を取得し、いくつかの DLL をダウンロードし、'System Info.txt' '\cookies.txt’ '\passwords.txt’ というファイルを外部に送信していることが示されています。
感染したホストの詳細検索ログ
図14:感染したホストのAdvanced Searchログ(DarktraceのAdvanced Searchインターフェイスで見つかる)には、デバイスがPOSTリクエストを介して構成の詳細を取得し、いくつかのDLLをダウンロードし、'System Info.txt' という名前のファイルを流出させる様子が示されています。

If a ‘ldr_1’ field is present in the retrieved configuration details, then Raccoon Stealer will complete its operation by downloading the binary file specified in the ‘ldr_1’ field. In all observed cases, the paths of the URLs specified in the ‘ldr_1’ field end in a sequence of digits, followed by ‘.bin’. The follow-up payload seems to vary between infections, likely due to this additional-payload feature being customizable by Raccoon Stealer affiliates. In many cases, the info-stealer, CryptBot, was delivered as the follow-up payload. 

DarktraceによるRaccoon Stealerの捕捉

Once a user’s device becomes infected with Raccoon Stealer v2, it will immediately start to communicate over HTTP with a C2 server. The HTTP requests made by the info-stealer have an empty Host header (although Host headers were used by early v2 samples) and highly unusual User Agent headers. When Raccoon Stealer v2 was first observed in May 2022, the user-agent string ‘record’ was used in its HTTP requests. Since then, it appears that the operators of Raccoon Stealer have made several changes to the user-agent strings used by the info-stealer,  likely in an attempt to evade signature-based detections. Below is a timeline of the changes to the info-stealer’s user-agent strings, as observed by Darktrace’s SOC:

  • 2022年5月22日:ユーザーエージェント文字列 'record' を使って見たサンプル
  • 2022年7月2日:ユーザーエージェント文字列 'mozzzzzzz' を使用したサンプル
  • 2022年7月29日:ユーザーエージェント文字列 'rc2.0/client' を使用したサンプル
  • 2022年8月10日:ユーザーエージェント文字列 'qwrqrwrqwr' を使用したサンプル
  • 2022年9月16日:ユーザーエージェント文字列 'TakeMyPainBack' を使用したサンプル

感染したデバイスのHTTPリクエスト内にこれらの非常に珍しいユーザーエージェント文字列が存在すると、以下のDarktrace DETECT /Networkモデルが侵害されます:

  • Device / New User Agent
  • Device / New User Agent and New IP
  • Anomalous Connection / New User Agent to IP Without Hostname
  • Device / Three or More New User Agents

これらの DETECTモデルでは、悪意のある特定のユーザーエージェント文字列ではなく、通常とは異なるユーザーエージェント文字列でHTTPリクエストを行っているデバイスを探します。この検出方法により、情報ステーラーのユーザーエージェント文字列が変更されても、Raccoon Stealer v2のHTTPトラフィックを継続的に識別することができます。   

After retrieving configuration details from a C2 server, Raccoon Stealer v2 samples make HTTP GET requests for several DLL libraries. Since these GET requests are directed towards highly unusual IP addresses, the downloads of the DLLs cause the following DETECT models to breach:

  • Anomalous File / EXE from Rare External Location
  • Anomalous File / Script from Rare External Location
  • Anomalous File / Multiple EXE from Rare External Locations

Raccoon Stealer v2 samples send data to their C2 server via HTTP POST requests with an absent Host header. Since these POST requests lack a Host header and have a highly unusual destination IP, their occurrence causes the following DETECT model to breach:

  • Anomalous Connection / Posting HTTP to IP Without Hostname

Certain Raccoon Stealer v2 samples download (over HTTP) a follow-up payload once they have exfiltrated data. Since the target URIs of the HTTP GET requests made by v2 samples end in a sequence of digits followed by ‘.bin’, the samples’ downloads of follow-up payloads cause the following DETECT model to breach:

  • Anomalous File / Numeric File Download

Darktrace RESPOND/Networkがお客様の環境に設定されている場合、Raccoon Stealer v2の活動により、感染したシステムに対して自律的に以下の抑制アクションが行われるようになります: 

  • 生活パターンを強制する - このアクションにより、デバイスが通常行うべき接続しかできなくなります。
  • Enforce group pattern of life - このアクションにより、デバイスは、自身またはそのピアのいずれかが行うことができる通常の接続のみを行うことができるようになります。
  • マッチング接続をブロックする - このアクションにより、デバイスは特定のIP/Portペアへの接続を行うことができなくなります。
  • すべての発信トラフィックをブロックする - このアクションにより、デバイスは接続を行うことができなくなります。 
感染したデバイスのイベントログ
図15:Darktraceの Threat Visualiser インターフェースから取得した感染デバイスのイベントログには、MediaFire からダウンロードした Raccoon Stealer v2 サンプルの HTTP アクティビティに対応してDarktrace RESPOND が抑制的なアクションを取る様子が示されている

Raccoon Stealer v2の感染は、初期感染からデータ流出までの時間が1分以内と非常に速いため、Darktraceの自律遮断技術のようなアプローチが極めて重要です。Darktrace RESPONDは、Raccoon Stealer v2 感染の封じ込めに不可欠です。  

DarktraceがRaccoon Stealerを阻止するまでのタイムライン
図16:Raccoon Stealer v2 感染のステップを、対応するDarktrace の検出値とともに表示した図

結論

Since the release of Raccoon Stealer v2 back in 2022, the info-stealer has relentlessly infected the devices of unsuspecting users. Once the info-stealer infects a user’s device, it retrieves and then exfiltrates sensitive information within a matter of minutes. The distinctive pattern of network behavior displayed by Raccoon Stealer v2 makes the info-stealer easy to spot. However, the changes which the Raccoon Stealer operators make to the User Agent headers of the info-stealer’s HTTP requests make anomaly-based methods key for the detection of the info-stealer’s HTTP traffic. The operators of Raccoon Stealer can easily change the superficial features of their malware’s C2 traffic, however, they cannot easily change the fact that their malware causes highly unusual network behavior. Spotting this behavior, and then autonomously responding to it, is likely the best bet which organizations have at stopping a Raccoon once it gets inside their networks.  

本ブログに寄稿した脅威リサーチチームに感謝します。

参考文献

[1]https://www.microsoft.com/security/blog/2022/05/17/in-hot-pursuit-of-cryware-defending-hot-wallets-from-attacks/

[2]https://twitter.com/3xp0rtblog/status/1507312171914461188

[3]https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-raccoon-stealer-v2-0

[4]https://www.justice.gov/usao-wdtx/pr/newly-unsealed-indictment-charges-ukrainian-national-international-cybercrime-operation

[5]https://www.youtube.com/watch?v=Fsz6acw-ZJ

[6]https://riskybiznews.substack.com/p/raccoon-stealer-dev-didnt-die-in

[7]https://medium.com/s2wblog/raccoon-stealer-is-back-with-a-new-version-5f436e04b20d

[8]https://blog.avast.com/fakecrack-campaign

[9]https://blog.sekoia.io/raccoon-stealer-v2-part-2-in-depth-analysis/

Appendices

MITRE ATT&CK マッピング

リソース開発

T1588.001 - 機能の取得:マルウェア

T1608.001 - ステージ機能:マルウェアのアップロード

T1608.005 - ステージ機能:リンクターゲット

T1608.006 - ステージ機能:SEOポイズニング

Execution

T1204.002 - ユーザーの実行:悪意のあるファイル

Credential Access

T1555.003 - パスワードストアからのクレデンシャル:ウェブブラウザからのクレデンシャル

T1555.005 - パスワードストアからのクレデンシャル:パスワードマネージャー

T1552.001 - 保護されていないクレデンシャル:ファイル内のクレデンシャル

Command and Control

T1071.001 - アプリケーション層プロトコル:ウェブプロトコル

T1105 - Ingress Tool Transfer

IOCS

Type

IOC

詳細説明

ユーザーエージェント文字列

記録

Raccoon Stealer v2のHTTPリクエストのUser Agentヘッダで使用される文字列

ユーザーエージェント文字列

mozzzzzzzzzzz

Raccoon Stealer v2のHTTPリクエストのUser Agentヘッダで使用される文字列

ユーザーエージェント文字列

rc2.0/client

Raccoon Stealer v2のHTTPリクエストのUser Agentヘッダで使用される文字列

ユーザーエージェント文字列

qwrqwrqwrqwr

Raccoon Stealer v2のHTTPリクエストのUser Agentヘッダで使用される文字列

ユーザーエージェント文字列

rqwrwqrwqw

Raccoon Stealer v2のHTTPリクエストのUser Agentヘッダで使用される文字列

ユーザーエージェント文字列

TakeMyPainBack

Raccoon Stealer v2のHTTPリクエストのUser Agentヘッダで使用される文字列

ドメイン名

brain-lover[.]xyz  

Raccoon Stealer v2 C2インフラストラクチャ

ドメイン名

polar-gift[.]xyz

Raccoon Stealer v2 C2インフラストラクチャ

ドメイン名

cool-story[.]xyz

Raccoon Stealer v2 C2インフラストラクチャ

ドメイン名

fall2sleep[.]xyz

Raccoon Stealer v2 C2インフラストラクチャ

ドメイン名

broke-bridge[.]xyz

Raccoon Stealer v2 C2インフラストラクチャ

ドメイン名

use-freedom[.]xyz

Raccoon Stealer v2 C2インフラストラクチャ

ドメイン名

just-trust[.]xyz

Raccoon Stealer v2 C2インフラストラクチャ

ドメイン名

soft-viper[.]site

Raccoon Stealer v2 C2インフラストラクチャ

ドメイン名

tech-lover[.]xyz

Raccoon Stealer v2 C2インフラストラクチャ

ドメイン名

heal-brain[.]xyz

Raccoon Stealer v2 C2インフラストラクチャ

ドメイン名

love-light[.]xyz

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

104.21.80[.]14

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

107.152.46[.]84

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

135.181.147[.]255

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

135.181.168[.]157

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

138.197.179[.]146

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

141.98.169[.]33

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

146.19.170[.]100

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

146.19.170[.]175

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

146.19.170[.]98

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

146.19.173[.]33

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

146.19.173[.]72

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

146.19.247[.]175

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

146.19.247[.]177

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

146.70.125[.]95

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

152.89.196[.]234

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

165.225.120[.]25

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

168.100.10[.]238

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

168.100.11[.]23

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

168.100.9[.]234

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

170.75.168[.]118

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

172.67.173[.]14

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

172.86.75[.]189

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

172.86.75[.]33

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

174.138.15[.]216

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

176.124.216[.]15

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

185.106.92[.]14

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

185.173.34[.]161

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

185.173.34[.]161  

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

185.225.17[.]198

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

185.225.19[.]190

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

185.225.19[.]229

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

185.53.46[.]103

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

185.53.46[.]76

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

185.53.46[.]77

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

188.119.112[.]230

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

190.117.75[.]91

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

193.106.191[.]182

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

193.149.129[.]135

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

193.149.129[.]144

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

193.149.180[.]210

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

193.149.185[.]192

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

193.233.193[.]50

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

193.43.146[.]138

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

193.43.146[.]17

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

193.43.146[.]192

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

193.43.146[.]213

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

193.43.146[.]214

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

193.43.146[.]215

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

193.43.146[.]26

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

193.43.146[.]45

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

193.56.146[.]177

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

194.180.174[.]180

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

195.201.148[.]250

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

206.166.251[.]156

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

206.188.196[.]200

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

206.53.53[.]18

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

207.154.195[.]173

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

213.252.244[.]2

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

38.135.122[.]210

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.10.20[.]248

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.11.19[.]99

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.133.216[.]110

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.133.216[.]145

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.133.216[.]148

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.133.216[.]249

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.133.216[.]71

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.140.146[.]169

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.140.147[.]245

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.142.212[.]100

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.142.213[.]24

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.142.215[.]91

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.142.215[.]91  

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.142.215[.]92

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.144.29[.]18

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.144.29[.]243

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.15.156[.]11

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.15.156[.]2

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.15.156[.]31

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.15.156[.]31

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.150.67[.]156

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.153.230[.]183

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.153.230[.]228

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.159.251[.]163

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.159.251[.]164

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.61.136[.]67

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.61.138[.]162

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.67.228[.]8

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.67.231[.]202

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.67.34[.]152

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.67.34[.]234

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.8.144[.]187

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.8.144[.]54

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.8.144[.]55

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.8.145[.]174

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.8.145[.]83

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.8.147[.]39

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.8.147[.]79

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.84.0.152

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.86.86[.]78

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.89.54[.]110

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.89.54[.]110

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.89.54[.]95

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.89.55[.]115

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.89.55[.]117

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.89.55[.]193

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.89.55[.]198

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.89.55[.]20

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.89.55[.]84

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

45.92.156[.]150

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.182.36[.]154

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.182.36[.]230

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.182.36[.]231

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.182.36[.]232

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.182.36[.]233

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.182.39[.]34

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.182.39[.]74

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.182.39[.]75

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.182.39[.]77

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.252.118[.]33

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.252.176[.]62

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.252.177[.]217

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.252.177[.]234

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.252.177[.]43

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.252.177[.]47

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.252.177[.]92

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.252.177[.]98

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.252.22[.]142

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.252.23[.]100

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.252.23[.]25

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

5.252.23[.]76

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

51.195.166[.]175

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

51.195.166[.]176

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

51.195.166[.]194

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

51.81.143[.]169

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

62.113.255[.]110

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

65.109.3[.]107

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

74.119.192[.]56

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

74.119.192[.]73

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.232.39[.]101

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.73.133[.]0

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.73.133[.]4

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.73.134[.]45

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.75.230[.]25

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.75.230[.]39

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.75.230[.]70

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.75.230[.]93

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.91.100[.]101

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.91.102[.]12

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.91.102[.]230

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.91.102[.]44

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.91.102[.]57

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.91.102[.]84

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.91.103[.]31

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.91.73[.]154

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.91.73[.]213

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.91.73[.]32

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

77.91.74[.]67

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

78.159.103[.]195

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

78.159.103[.]196

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

80.66.87[.]23

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

80.66.87[.]28

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

80.71.157[.]112

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

80.71.157[.]138

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

80.92.204[.]202

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

87.121.52[.]10

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

88.119.175[.]187

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

89.185.85[.]53

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

89.208.107[.]42

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

89.39.106[.]78

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

91.234.254[.]126

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.131.104[.]16

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.131.104[.]17

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.131.104[.]18

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.131.106[.]116

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.131.106[.]224

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.131.107[.]132

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.131.107[.]138

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.131.96[.]109

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.131.97[.]129

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.131.97[.]53

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.131.97[.]56

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.131.97[.]57

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.131.98[.]5

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.158.244[.]114

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.158.244[.]119

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.158.244[.]21

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.158.247[.]24

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.158.247[.]26

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.158.247[.]30

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

94.158.247[.]44

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

95.216.109[.]16

Raccoon Stealer v2 C2インフラストラクチャ

IPアドレス

95.217.124[.]179

Raccoon Stealer v2 C2インフラストラクチャ

URI

/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/mozglue.dll

ライブラリファイルのダウンロードに使用されるURI

URI

/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/nss3.dll

ライブラリファイルのダウンロードに使用されるURI

URI

/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/freebl3.dll

ライブラリファイルのダウンロードに使用されるURI

URI

/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/softokn3.dll

ライブラリファイルのダウンロードに使用されるURI

URI

/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/nssdbm3.dll

ライブラリファイルのダウンロードに使用されるURI

URI

/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/sqlite3.dll

ライブラリファイルのダウンロードに使用されるURI

URI

/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/msvcp140.dll

ライブラリファイルのダウンロードに使用されるURI

URI

/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/vcruntime140.dll

ライブラリファイルのダウンロードに使用されるURI

URI

/C9S2G1K6I3G8T3X7/56296373798691245143.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/O6K3E4G6N9S8S1/91787438215733789009.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/Z2J8J3N2S2Z6X2V3S0B5/45637662345462341.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/rgd4rgrtrje62iuty/19658963328526236.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/sd325dt25ddgd523/81852849956384.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/B0L1N2H4R1N5I5S6/40055385413647326168.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/F5Q8W3O3O8I2A4A4B8S8/31427748106757922101.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/36141266339446703039.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/wH0nP0qH9eJ6aA9zH1mN/1.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/K2X2R1K4C6Z3G8L0R1H0/68515718711529966786.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/C3J7N6F6X3P8I0I0M/17819203282122080878.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/W9H1B8P3F2J2H2K7U1Y7G5N4C0Z4B/18027641.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/P2T9T1Q6P7Y5J3D2T0N0O8V/73239348388512240560937.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/W5H6O5P0E4Y6P8O1B9D9G0P9Y9G4/671837571800893555497.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/U8P2N0T5R0F7G2J0/898040207002934180145349.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/AXEXNKPSBCKSLMPNOMNRLUEPR/3145102300913020.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/wK6nO2iM9lE7pN7e/7788926473349244.bin

フォローアップペイロードのダウンロードに使用されるURI

URI

/U4N9B5X5F5K2A0L4L4T5/84897964387342609301.bin

フォローアップペイロードのダウンロードに使用されるURI

NEWSLETTER

Like this and want more?

最新の業界ニュースやインサイトをお届けします。
You can unsubscribe at any time. Privacy Policy
INSIDE THE SOC
Darktrace cyber analysts are world-class experts in threat intelligence, threat hunting and incident response, and provide 24/7 SOC support to thousands of Darktrace customers around the globe. Inside the SOC is exclusively authored by these experts, providing analysis of cyber incidents and threat trends, based on real-world experience in the field.
AUTHOR
ABOUT ThE AUTHOR
Sam Lister
SOC Analyst
この記事を共有
PRODUCT SPOTLIGHT
該当する項目はありません。
COre coverage
該当する項目はありません。

More in this series

該当する項目はありません。

Blog

Inside the SOC

Black Basta: Old Dogs with New Tricks

Default blog imageDefault blog image
21
Sep 2023

What is Black Basta?

Over the past year, security researchers have been tracking a new ransomware group, known as Black Basta, that has been observed targeted organizations worldwide to deploy double extortion ransomware attacks since early 2022. While the strain and group are purportedly new, evidence seen suggests they are an offshoot of the Conti ransomware group [1].

The group behind Black Basta run a Ransomware as a Service (RaaS) model. They work with initial access brokers who will typically already have a foothold in company infrastructure to begin their attacks. Once inside a network, they then pivot internally using numerous tools to further their attack.

Black Basta Ransomware

Like many other ransomware actors, Black Basta uses double extortion as part of its modus operandi, exfiltrating sensitive company data and using the publication of this as a second threat to affected companies. This is also advertised on a dark web site, setup by the group to apply further pressure for affected companies to make ransom payments and avoid reputational damage.

The group also seems to regularly take advantage of existing tools to undertake the earlier stages of their attacks. Notably, the Qakbot banking trojan, seems to be the malware often used to gain an initial foothold within compromised environments.

Analysis of the tools, procedures and infrastructure used by Black Basta belies a maturity to the actors behind the ransomware. Their models and practices suggest those involved are experienced individuals, and security researchers have drawn possible links to the Conti ransomware group.

As such, Black Basta is a particular concern for security teams as attacks will likely be more sophisticated, with attackers more patient and able to lie low on digital estates for longer, waiting for the opportune moment to strike.

Cyber security is an infinite game where defender and attacker are stuck as cat and mouse; as new attacks evolve, security vendors and teams respond to the new indicators of compromise (IoCs), and update their existing rulesets and lists. As a result, attackers are forced to change their stripes to evade detection or sometimes even readjust their targets and end goals.

Anomaly Based Detection

By using the power of Darktrace’s Self-Learning AI, security teams are able to detect deviations in behavior. Threat actors need to move through the kill chain to achieve their aims, and in doing so will cause affected devices within networks to deviate from their expected pattern of life. Darktrace’s anomaly-based approach to threat detection allows it recognize these subtle deviations that indicate the presence of an attacker, and stop them in their tracks.

Additionally, the ecosystem of cyber criminals has matured in the last few decades. It is well documented how many groups now operate akin to legitimate companies, with structure, departments and governance. As such, while new attack methods and tactics do appear in the wild, the maturity in their business models belie the experience of those behind the attack.

As attackers grow their business models and develop their arsenal of attack vectors, it becomes even more critical for security teams to remain vigilant to anomalies within networks, and remain agnostic to underlying IoCs and instead adopt anomaly detection tools able to identify tactics, techniques, and procedures (TTPs) that indicate attackers may be moving through a network, ahead of deployment of ransomware and data encryption.

Darktrace’s Coverage of Black Basta

In April 2023, the Darktrace Security Operations Center (SOC) assisted a customer in triaging and responding to an ongoing ransomware infection on their network. On a Saturday, the customer reached out directly to the Darktrace analyst team via the Ask the Expert service for support after they observed encrypted files and locked administrative accounts on their network. The analyst team were able to investigate and clarify the attack path, identifying affected devices and assisting the customer with their remediation. Darktrace DETECT™ observed varying IoCs and TTPs throughout the course of this attack’s kill chain; subsequent analysis into these indicators revealed this had likely been a case of Black Basta seen in the wild.

初期の侵入

The methods used by the  group to gain an initial foothold in environments varies – sometimes using phishing, sometimes gaining access through a common vulnerability exposed to the internet. Black Basta actors appear to target specific organizations, as opposed to some groups who aim to hit multiple at once in a more opportunistic fashion.

In the case of the Darktrace customer likely affected by Black Basta, it is probable that the initial intrusion was out of scope. It may be that the path was via a phishing email containing an Microsoft Excel spreadsheet that launches malicious powershell commands; a noted technique for Black Basta. [3][4]  Alternatively, the group may have worked with access brokers who already had a foothold within the customer’s network.

One particular device on the network was observed acting anomalously and was possibly the first to be infected. The device attempted to connect to multiple internal devices over SMB, and connected to a server that was later found to be compromised and is described throughout the course of this blog. During this connection, it wrote a file over SMB, “syncro.exe”, which is possibly a legitimate Remote Management software but could in theory be used to spread an infection laterally. Use of this tool otherwise appears sporadic for the network, and was notably unusual for the environment.

Given these timings, it is possible this activity is related to the likely Black Basta compromise. However, there is some evidence online that use of Syncro has been seen installed as part of the execution of loaders such as Batloader, potentially indicating a separate or concurrent attack [5].

Internal Reconnaissance + Lateral Movement

However the attackers gained access in this instance, the first suspicious activity observed by Darktrace originated from an infected server. The attacker used their foothold in the device to perform internal reconnaissance, enumerating large portions of the network. Darktrace DETECT’s anomaly detection noted a distinct rise in connections to a large number of subnets, particularly to closed ports associated with native Windows services, including:

  • 135 (RPC)
  • 139 (NetBIOS)
  • 445 (SMB)
  • 3389 (RDP)

During the enumeration, SMB connections were observed during which suspiciously named executable files were written:

  • delete.me
  • covet.me

Data Staging and Exfiltration

Around 4 hours after the scanning activity, the attackers used their knowledge gained during enumeration about the environment to begin gathering and staging data for their double extortion attempts. Darktrace observed the same infected server connecting to a file storage server, and downloading over 300 GiB of data. Darktrace DETECT identified that the connections had been made via SMB and was able to present a list of filenames to the customer, allowing their security team to determine the data that had likely been exposed to the attackers.

The SMB paths detected by Darktrace showed a range of departments’ file areas being accessed by threat actors. This suggests they were interested in getting as much varied data as possible, presumably in an attempt to ensure a large amount of valuable information was at their disposal to make any threats of releasing them more credible, and more damaging to the company.

Shortly after the download, the device made an external connection over SSH to a rare domain, dataspt[.]com, hosted in the United States. The connection itself was made over an unusual port, 2022, and Darktrace recognized that the domain was new for the network.

During this upload, the threat actors uploaded a similar volume of data to the 300GiB that had been downloaded internally earlier. Darktrace flagged the usual elements of this external upload, making the identification and triage of this exfiltration attempt easier for the customer.

On top of this, Darktrace’s autonomous investigation tool Cyber AI Analyst™ launched an investigation into this on-going activity and was able to link the external upload events to the internal download, identifying them as one exfiltration incident rather than two isolated events. AI Analyst then provided a detailed summary of the activity detected, further speeding up the identification of affected files.

Preparing for Exploitation

All the activity documented so far had occurred on a Wednesday evening. It was at this point that the burst of activity calmed, and the ransomware lay in wait within the environment. Other devices around the network, particularly those connected to by the original infected server and a domain controller, were observed performing some elements of anomalous activity, but the attack seemed to largely take a pause.

However, on the Saturday morning, 3 days later, the compromised server began to change the way it communicated with attackers by reaching out to a new command and control (C2) endpoint. It seemed that attackers were gearing up for their attack, taking advantage of the weekend to strike while security teams often run with a reduced staffing.

Darktrace identified connections to a new endpoint within 4 minutes of it first being seen on the customer’s environment. The server had begun making repeated SSL connections to the new external endpoint, faceappinc[.]com, which has been flagged as malicious by various open-source intelligence (OSINT) sources.

The observed JA3 hash (d0ec4b50a944b182fc10ff51f883ccf7) suggests that the command-line tool BITS Admin was being used to launch these connections, another suggestion of the use of mature tooling.

In addition to this, Darktrace also detected the server using an administrative credential it had never previously been associated with. Darktrace recognized that the use of this credential represented a deviation from the device’s usual activity and thus could be indicative of compromise.

The server then proceeded to use the new credential to authenticate over Keberos before writing a malicious file (“management.exe”) to the Temp directory on a number of internal devices.

Encryption

At this point, the number of anomalous activities detected from the server increased massively as the attacker seems to connect networkwide in an attempt to cause as quick and destructive an encryption effort as possible. Darktrace observed numerous files that had been encrypted by a local process. The compromised server began to write ransom notes, named “instructions_read_me.txt” to other file servers, which presumably also had successfully deployed payloads. While Black Basta actors had initially been observed dropping ransom notes named “readme.txt”, security researchers have since observed and reported an updated variant of the ransomware that drops “instructions_read_me_.txt”, the name of the file detected by Darktrace, instead [6].

Another server was also observed making repeated SSL connections to the same rare external endpoint, faceappinc[.]com. Shortly after beginning these connections, the device made an HTTP connection to a rare IP address with no hostname, 212.118.55[.]211. During this connection, the device also downloaded a suspicious executable file, cal[.]linux. OSINT research linked the hash of this file to a Black Basta Executable and Linkable File (ELF) variant, indicating that the group was highly likely behind this ransomware attack.

Of particular interest again, is how the attacker lives off the land, utilizing pre-installed Windows services. Darktrace flagged that the server was observed using PsExec, a remote management executable, on multiple devices.

Darktrace Assistance

Darktrace DETECT was able to clearly detect and provide visibility over all stages of the ransomware attack, alerting the customer with multiple model breaches and AI Analyst investigation(s) and highlighting suspicious activity throughout the course of the attack.

For example, the exfiltration of sensitive data was flagged for a number of anomalous features of the meta-data: volume; rarity of the endpoint; port and protocol used.

In total, the portion of the attack observed by Darktrace lasted about 4 days from the first model breach until the ransomware was deployed. In particular, the encryption itself was initiated on a Saturday.

The encryption event itself was initiated on a Saturday, which is not uncommon as threat actors tend to launch their destructive attacks when they expect security teams will be at their lowest capacity. The Darktrace SOC team regularly observes and assists in customer’s in the face of ransomware actors who patiently lie in wait. Attackers often choose to strike as security teams run on reduced hours of manpower, sometimes even choosing to deploy ahead of longer breaks for national or public holidays, for example.

In this case, the customer contacted Darktrace directly through the Ask the Expert (ATE) service. ATE offers customers around the clock access to Darktrace’s team of expert analysts. Customers who subscribe to ATE are able to send queries directly to the analyst team if they are in need of assistance in the face of suspicious network activity or emerging attacks.

In this example, Darktrace’s team of expert analysts worked in tandem with Cyber AI Analyst to investigate the ongoing compromise, ensuring that the investigation and response process were completed as quickly and efficiently as possible.

Thanks to Darktrace’s Self-Learning AI, the analyst team were able to quickly produce a detailed report enumerating the timeline of events. By combining the human expertise of the analyst team and the machine learning capabilities of AI Analyst, Darktrace was able to quickly identify anomalous activity being performed and the affected devices. AI Analyst was then able to collate and present this information into a comprehensive and digestible report for the customer to consult.

結論

It is likely that this ransomware attack was undertaken by the Black Basta group, or at least using tools related to their method. Although Black Basta itself is a relatively novel ransomware strain, there is a maturity and sophistication to its tactics. This indicates that this new group are actually experienced threat actors, with evidence pointing towards it being an offshoot of Conti.

The Pyramid of Pain is a well trodden model in cyber security, but it can help us understand the various features of an attack. Indicators like static C2 destinations or file hashes can easily be changed, but it’s the underlying TTPs that remain the same between attacks.

In this case, the attackers used living off the land techniques, making use of tools such as BITSAdmin, as well as using tried and tested malware such as Qakbot. While the domains and IPs involved will change, the way these malware interact and move about systems remains the same. Their fingerprint therefore causes very similar anomalies in network traffic, and this is where the strength of Darktrace lies.

Darktrace’s anomaly-based approach to threat detection means that these new attack types are quickly drawn out of the noise of everyday traffic within an environment. Once attackers have gained a foothold in a network, they will have to cause deviation from the usual pattern of a life on a network to proceed; Darktrace is uniquely placed to detect even the most subtle changes in a device’s behavior that could be indicative of an emerging threat.

Machine learning can act as a force multiplier for security teams. Working hand in hand with the Darktrace SOC, the customer was able to generate cohesive and comprehensive reporting on the attack path within days. This would be a feat for humans alone, requiring significant resources and time, but with the power of Darktrace’s Self-Learning AI, these deep and complex analyses become as easy as the click of a button.

Credit to: Matthew John, Director of Operations, SOC, Paul Jennings, Principal Analyst Consultant

Appendices

Darktrace DETECT Model Breaches

内部偵察

Device / Multiple Lateral Movement Model Breaches

Device / Large Number of Model Breaches

Device / Network Scan

Device / Anomalous RDP Followed by Multiple Model Breaches

Device / Possible SMB/NTLM Reconnaissance

Device / SMB Lateral Movement

Anomalous Connection / SMB Enumeration

Anomalous Connection / Possible Share Enumeration Activity

Device / Suspicious SMB Scanning Activity

Device / RDP Scan

Anomalous Connection / Active Remote Desktop Tunnel

Device / Increase in New RPC Services

Device / ICMP Address Scan

Download and Upload

Unusual Activity / Enhanced Unusual External Data Transfer

Unusual Activity / Unusual External Data Transfer

Anomalous Connection / Uncommon 1 GiB Outbound

Anomalous Connection / Data Sent to Rare Domain

Anomalous Connection / Download and Upload

Compliance / SSH to Rare External Destination

Anomalous Server Activity / Rare External from Server

Anomalous Server Activity / Outgoing from Server

Anomalous Connection / Application Protocol on Uncommon Port

Anomalous Connection / Multiple Connections to New External TCP Port

Device / Anomalous SMB Followed By Multiple Model Breaches

Unusual Activity / SMB Access Failures

Lateral Movement and Encryption

User / New Admin Credentials on Server

Compliance / SMB Drive Write

Device / Anomalous RDP Followed By Multiple Model Breaches

Anomalous Connection / High Volume of New or Uncommon Service Control

Anomalous Connection / New or Uncommon Service Control

Device / New or Unusual Remote Command Execution

Anomalous Connection / SMB Enumeration

Additional Beaconing and Tooling

Device / Initial Breach Chain Compromise

Device / Multiple C2 Model Breaches

Compromise / Large Number of Suspicious Failed Connections

Compromise / Sustained SSL or HTTP Increase

Compromise / SSL or HTTP Beacon

Compromise / Suspicious Beaconing Behavior

Compromise / Large Number of Suspicious Successful Connections

Compromise / High Volume of Connections with Beacon Score

Compromise / Slow Beaconing Activity To External Rare

Compromise / SSL Beaconing to Rare Destination

Compromise / Beaconing Activity To External Rare

Compromise / Beacon to Young Endpoint

Compromise / Agent Beacon to New Endpoint

Anomalous Server Activity / Rare External from Server

Anomalous Connection / Multiple Failed Connections to Rare Endpoint

Anomalous File / EXE from Rare External Location

IoC - Type - Description + Confidence

dataspt[.]com - Hostname - Highly Likely Exfiltration Server

46.22.211[.]151:2022 - IP Address and Unusual Port - Highly Likely Exfiltration Server

faceappinc[.]com - Hostname - Likely C2 Infrastructure

Instructions_read_me.txt - Filename - Almost Certain Ransom Note

212.118.55[.]211 - IP Address - Likely C2 Infrastructure

delete[.]me - Filename - Potential lateral movement script

covet[.]me - Filename - Potential lateral movement script

d0ec4b50a944b182fc10ff51f883ccf7 - JA3 Client Fingerprint - Potential Windows BITS C2 Process

/download/cal.linux - URI - Likely BlackBasta executable file

1f4dcfa562f218fcd793c1c384c3006e460213a8 - Sha1 File Hash - Likely BlackBasta executable file

参考文献

[1] https://blogs.blackberry.com/en/2022/05/black-basta-rebrand-of-conti-or-something-new

[2] https://www.cybereason.com/blog/threat-alert-aggressive-qakbot-campaign-and-the-black-basta-ransomware-group-targeting-u.s.-companies

[3] https://www.trendmicro.com/en_us/research/22/e/examining-the-black-basta-ransomwares-infection-routine.html

[4] https://unit42.paloaltonetworks.com/atoms/blackbasta-ransomware/

[5] https://www.trendmicro.com/en_gb/research/23/a/batloader-malware-abuses-legitimate-tools-uses-obfuscated-javasc.html

[6] https://www.pcrisk.com/removal-guides/23666-black-basta-ransomware

続きを読む
著者について
Matthew John
Director of Operations, SOC

Blog

該当する項目はありません。

Using AI to Help Humans Function Better During a Cyber Crisis

Stressed cyber security analysts looking at a laptop screen during a cyber incidentDefault blog imageDefault blog image
19
Sep 2023

Within cyber security, crises are a regular occurrence. Whether due to the ever-changing tactics of threat actors or the emergence of new vulnerabilities, security teams find themselves under significant pressure and frequently find themselves in what psychologists term "crisis states."1

A crisis state refers to an internal state marked by confusion and anxiety to such an extent that previously effective coping mechanisms give way to ineffective decision-making and behaviors.2

Given the prevalence of crises in the field of cyber security, practitioners are more prone to consistently making illogical choices due to the intense pressure they experience. They also grapple with a constant influx of rapidly changing information, the need for swift decision-making, and the severe consequences of errors in judgment. They are often asked to assess hundreds of variables and uncertain factors.

The frequency of crisis states is expected to rise as generative AI empowers cyber criminals to accelerate the speed, scale, and sophistication of their attacks.

Why is it so challenging to operate effectively and efficiently during a crisis state? Several factors come into play.

Firstly, individuals are inclined to rely on their instincts, rendering them susceptible to cognitive biases. This makes it increasingly difficult to assimilate new information, process it appropriately, and arrive at logical decisions. Since crises strike unexpectedly and escalate rapidly into new unknowns, responders experience heightened stress, doubt and insecurity when deciding on a course of action.

These cognitive biases manifest in various forms. For instance, confirmation bias prompts people to seek out information that aligns with their pre-existing beliefs, while hindsight bias makes past events seem more predictable in light of present context and information.

Crises also have a profound impact on information processing and decision-making. People tend to simplify new information and often cling to the initial information they receive rather than opting for the most rational decision.

For instance, if an organization has successfully thwarted a ransomware attack in the past, a defender might assume that employing the same countermeasures will suffice for a subsequent attack. However, ransomware tactics are constantly evolving, and a subsequent attack could employ different strategies that evade the previous defenses. In a crisis state, individuals may revert to their prior strategy instead of adapting based on the latest information.

Given there are deeply embedded psychological tendencies and hard-wired decision-making processes leading to a reduction in logic during a crisis, humans need support from technology that does not suffer from the same limitations, particularly in the post-incident phase, where stress levels go into overdrive.

In the era of rapidly evolving novel attacks, security teams require a different approach: AI.

AI can serve as a valuable tool to augment human decision-making, from detection to incident response and mitigation. This is precisely why Darktrace introduced HEAL, which leverages self-learning AI to assist teams in increasing their cyber resilience and managing live incidents, helping to alleviate the cognitive burden they face.

Darktrace HEAL™ learns from your environment, including data points from real incidents and generates simulations to identify the most effective approach for remediation and restoring normal operations. This reduces the overwhelming influx of information and facilitates more effective decision-making during critical moments.

Furthermore, HEAL offers security teams the opportunity to safely simulate realistic attacks within their own environment. Using specific data points from the native environment, simulated incidents prepare security teams for a variety of circumstances which can be reviewed on a regular basis to encourage effective habit forming and reduce cognitive biases from a one-size-fits-all approach. This allows them to anticipate how attacks might unfold and better prepare themselves psychologically for potential real-world incidents.

With the right models and data, AI can significantly mitigate human bias by providing remediation recommendations grounded in evidence and providing proportionate responses based on empirical evidence rather than personal interpretations or instincts. It can act as a guiding light through the chaos of an attack, providing essential support to human security teams.

1 www.cybersecuritydive.com/news/incident-response-impacts-wellbeing/633593

2 blog.bcm-institute.org/crisis-management/making-decision-during-a-crisis

続きを読む
著者について

Good news for your business.
Bad news for the bad guys.

無償トライアルを開始

無償トライアルを開始

柔軟な導入
Cloud-based deployment.
迅速なインストール
設定時間はわずか1時間、メールセキュリティのトライアルはさらに短時間で完了します。
製品を選ぶ
クラウド、ネットワーク、Eメールなど、最も必要とされる領域で自己学習型AIの能力をお試しください。
購入義務なし
Darktrace Threat Visualizerと組織毎にカスタマイズされた3回の脅威レポートへのフルアクセスを提供しますが、購入の義務はありません。
For more information, please see our Privacy Notice.
Thanks, your request has been received
A member of our team will be in touch with you shortly.
YOU MAY FIND INTERESTING
フォームを送信する際に何らかの問題が発生しました。

デモを見る

柔軟な導入
仮想的にインストールすることも、ハードウェアでインストールすることも可能です。
迅速なインストール
設定時間はわずか1時間、メールセキュリティのトライアルはさらに短時間で完了します。
製品を選ぶ
クラウド、ネットワーク、Eメールなど、最も必要とされる領域で自己学習型AIの能力をお試しください。
購入義務なし
Darktrace Threat Visualizerと組織毎にカスタマイズされた3回の脅威レポートへのフルアクセスを提供しますが、購入の義務はありません。
ありがとうございます!あなたの投稿を受け取りました。
フォームを送信する際に何らかの問題が発生しました。