Инструмент может быть тесно связан с APT-группировкой Lazarus.
По словам
специалистов из Zscaler ThreatLabz, билдер предоставляется по подписке: 189 евро в месяц. За эту сумму злоумышленники получают гибко настраиваемый инструмент для создания вредоносных LNK-файлов, а также полезных нагрузок HTA, ISO и Lazarus из-за одинаковых тактик, техник и процедур, а также совпадений, обнаруженных в исходном коде.
Многоступенчатая цепочка атак выглядит так:
-
Жертве приходит фишинговое письмо с вложением в виде GZIP-архива, внутри которого находится LNK-файл, необходимый для запуска PowerShell-скрипта, отвечающего за запуск удаленного HTML-приложения (HTA) с помощью MSHTA. Обычно злоумышленники пытаются выдать себя за китайских поставщиков сахара, а LNK-файл маскируют под PDF-документ.
-
HTA расшифровывается и запускает другой PowerShell-скрипт;
-
Скрипт развертывает вредоноса (в данном случае троян Agent Tesla) с правами администратора в системе жертвы.
Во втором варианте этой цепочки атак GZIP-архив заменяется на ZIP-архив, а также появляются дополнительные методы обфускации, необходимые для маскировки вредоносной активности.
Исследователи предупреждают, что в последние месяцы наблюдается рост популярности билдера Quantum. Злоумышленники активно используют его для распространения множества популярных вредоносов: RedLine Stealer, IcedID, GuLoader, RemcosRAT и AsyncRAT.
