黑客使用Quantum Builder交付代理Tesla恶意软件

Quantum Builder ( aka ‘ Quantum Lnk Builder ‘)用于创建恶意快捷方式文件。由于共享TTP和源代码重叠，它与拉撒路集团APT联系在一起，但我们不能明确地将这场战役归咎于任何特定的黑客。在这场攻击中，黑客使用Quantum Builder来生成恶意的LNK、HTA和PowerShell有效载荷，然后在目标机器上交付代理Tesla。

Quantum Builder( aka ‘ Quantum Lnk Builder ‘)允许创建恶意的快捷方式文件，它在地下网页上出售。Quantum Builder还允许生成恶意的HTA、ISO和PowerShell负载，用于丢弃下一阶段的恶意软件。

在专家观察的活动中，威胁行为者使用构建器生成恶意的LNK、HTA和PowerShell负载，用于在目标机器上交付Agent Tesla。

专家们注意到，与过去的攻击相比，这个活动的特点是增强和转向LNK ( Windows快捷方式)文件。

ZScaler观察到的攻击链从一个长矛钓鱼电子邮件开始，该电子邮件由一个捆绑为GZIP存档的LNK文件组成。这些消息被伪装成来自中国供应商的订单确认消息，LNK文件被隐藏为PDF文档。

在LNK文件执行时，嵌入式PowerShell代码生成MSHTA，MSHTA执行一个HTA文件，该文件位于远程服务器上。

然后，HTA文件解密一个PowerShell加载器脚本，该脚本在执行AES解密和GZIP解压后解密并加载另一个PowerShell脚本。解密的PowerShell脚本是下载器PS脚本，它从远程服务器下载并执行代理Tesla二进制文件。通过使用CMSTP执行UAC Bypass，恶意软件以管理权限执行。

下面是这次攻击的主要特征：

· 威胁行为体通过利用被称为”Quantum Builder”的建设者生成的LNK和HTA有效载荷，在目标机器上引入新的感染链，以传递特斯拉特工。

· Quantum Builder是一个在网络犯罪市场销售的建设者，能够生成LNK、HTA和ISO有效载荷，这些有效载荷由复杂的技术组成，以多阶段攻击链下载和执行最终的有效载荷。

· 由Quantum Builder生成的HTA文件解密的内存PowerShell脚本通过CMSTP执行用户账户控制( User Account Control，UAC ) Bypass，以执行具有管理权限的最终负载( Agent Tesla )。UAC Bypass还用于在端点系统上执行Windows Defender排除。

· 利用LOLBins ( Living Off the Land Binations )来规避检测和伪装恶意活动。

· 结合诱骗、UAC提示和内存PowerShell等技术来执行最终结果

在感染序列的第二个变体中，GZIP存档被ZIP文件替换，同时还采用进一步的混淆策略来伪装恶意活动。

最近几个月，Quantum Builder的使用激增，黑客使用它来分发各种恶意软件，如IcedID、GuLoader、RemcosRAT和AsyncRAT。黑客正在不断发展他们的策略，并利用网络犯罪市场上出售的恶意软件制造商。”特工特斯拉”运动是一系列攻击中的最新一次，其中量子生成器被用来在针对各种组织的运动中制造恶意的载体。它结合了复杂的技术来逃避检测，这些技术由开发人员定期更新。