Инструмент может быть тесно связан с APT-группировкой Lazarus.
https://www.securitylab.ru/upload/ib...zv66aa5t25.jpg
По словам специалистов из Zscaler ThreatLabz, билдер предоставляется по подписке: 189 евро в месяц. За эту сумму злоумышленники получают гибко настраиваемый инструмент для создания вредоносных LNK-файлов, а также полезных нагрузок HTA, ISO и PowerShell, с помощью которых вредоносное ПО попадает на устройства жертв. Эксперты со средней степенью уверенности связывают билдер с APT Lazarus из-за одинаковых тактик, техник и процедур, а также совпадений, обнаруженных в исходном коде.
Многоступенчатая цепочка атак выглядит так:<ul><li>Жертве приходит фишинговое письмо с вложением в виде GZIP-архива, внутри которого находится LNK-файл, необходимый для запуска PowerShell-скрипта, отвечающего за запуск удаленного HTML-приложения (HTA) с помощью MSHTA. Обычно злоумышленники пытаются выдать себя за китайских поставщиков сахара, а LNK-файл маскируют под PDF-документ.</li>
</ul><ul><li>HTA расшифровывается и запускает другой PowerShell-скрипт;</li>
</ul><ul><li>Скрипт развертывает вредоноса (в данном случае троян Agent Tesla) с правами администратора в системе жертвы.</li>
</ul>Во втором варианте этой цепочки атак GZIP-архив заменяется на ZIP-архив, а также появляются дополнительные методы обфускации, необходимые для маскировки вредоносной активности.
Исследователи предупреждают, что в последние месяцы наблюдается рост популярности билдера Quantum. Злоумышленники активно используют его для распространения множества популярных вредоносов: RedLine Stealer, IcedID, GuLoader, RemcosRAT и AsyncRAT.