PikaBot elemzése
A Sekoia jelentése szerint a PikaBot egy 2023 februárja óta széles körben terjesztett rosszindulatú betöltőprogram, amelyet az Initial Access Brokers arra használ, hogy megvetesse a lábát az áldozat hálózatán belül, és további hasznos terheléseket, például a Cobalt Strike-ot és a Meterpreter-t terjessze. Ezenkívül több forrás is arról számolt be, hogy a sikeres PikaBot-fertőzések a Black Basta zsarolóprogram telepítéséhez vezettek.
A nyílt forrásban megosztott technikai elemzések szoros kapcsolatokat mutattak ki a PikaBot és más hírhedt kártevőcsaládok között, ami a fejlesztők és üzemeltetők közötti lehetséges kapcsolatra utal. Konkrétan, a PikaBot a kódban hasonlóságokat mutat a Matanbuchusszal a forgalom és a karakterláncok titkosítása tekintetében, míg a Command & Control (C2) infrastruktúra TLS tanúsítványának mintája a Qakbotéhoz hasonló.
Úgy tűnik, hogy a PikaBot 2023 eleji megjelenése óta aktív fejlesztés alatt áll, és 2024 februárjában egy új főverziót adtak ki belőle. A kártevő fejlett elemzésellenes technikákat alkalmaz a felderítés elkerülésére és az elemzés megnehezítésére, beleértve a rendszerellenőrzéseket, a közvetett syscallokat, a következő lépcsőfokok és karakterláncok titkosítását, valamint a dinamikus API-feloldást. A Sekoia Threat Detection & Research (TDR) csapata a PikaBot C2 infrastruktúrájában is több változást azonosított 2023 folyamán.
A Sekoia jelentése a PikaBot mélyreható elemzését nyújtja, a különböző kártevőfázisokban végrehajtott elemzésellenes technikáira összpontosítva. Emellett ez a jelentés megosztja a PikaBot C2 infrastruktúrájának technikai részleteit.