يعمل مشغلو البرامج الضارة في QakBot على تضخيم التهديد من خلال زيادة 15 خادم C2 جديد
في تطور حديث ، أنشأت المجموعة التي تقف وراء البرنامج الخبيث QakBot (المعروف أيضًا باسم QBot) شبكة جديدة من 15 خادمًا للقيادة والتحكم (C2) بحلول نهاية يونيو 2023. وتستند هذه الملاحظة إلى التحقيق المستمر في البرامج الضارة. البنية التحتية التي أجراها فريق Cymru. ومن اللافت للنظر أن هذا التوسع يتبع عن كثب بعد الكشف عن Lumen Black Lotus Labs ، والذي كشف أن ربع خوادم C2 الخاصة بها لا تزال قيد التشغيل ليوم واحد فقط ، مما يلقي الضوء على الطبيعة الديناميكية والمراوغة لعمليات QakBot .
يُظهر QakBot تقليديًا نمطًا من فترات التوقف الطويلة خلال أشهر الصيف ، وعادةً ما يظهر في سبتمبر. في العام الحالي ، توقفت عمليات إرسال الرسائل غير المرغوب فيها تقريبًا في 22 يونيو 2023 ، وفقًا لشركة الأمن السيبراني. ومع ذلك ، ما إذا كان مشغلو QakBot يستخدمون وقت التوقف هذا كعطلة أو الاستفادة منه لتحسين وتحديث بنيتهم التحتية وأدواتهم ، فلا يزال يتعين رؤيته.
جدول المحتويات
نشر البنية التحتية الرائعة
على غرار البنى التي لوحظت في Emotet و I cedID malware ، تعرض شبكة القيادة والتحكم (C2) الخاصة بـ QakBot بنية متعددة المستويات. ضمن هذا الترتيب ، تتواصل عُقد C2 مع عُقد المستوى 2 (T2) C2 ذات المستوى الأعلى المستضافة على موفري الخادم الافتراضي الخاص (VPS) في روسيا. معظم خوادم bot C2 ، التي تتواصل مع مضيفي الضحايا المخترقين ، موجودة بشكل أساسي في الولايات المتحدة والهند. يكشف تحليل الاتصالات الصادرة من عقد T2 أن عناوين IP للوجهة موجودة في الولايات المتحدة والهند والمكسيك وفنزويلا. إلى جانب عقدتي C2 و T2 ، يقوم خادم BackConnect (BC) بتحويل الروبوتات المخترقة إلى وكلاء ، مما يمكنهم من خدمة أنشطة ضارة مختلفة. تؤكد بنية الشبكة المعقدة هذه على جهود QakBot لتنظيم عملياتها عبر مواقع جغرافية متعددة ، مما يعزز قدرته على إدارة الأنظمة المصابة والتحكم فيها بشكل فعال.
تشير عقد المستوى 2 C2 ، في سياق التهديدات الإلكترونية والبرامج الضارة ، إلى المستوى المتوسط للبنية التحتية للقيادة والتحكم ضمن بنية متعددة المستويات. غالبًا ما تستخدم سلالات البرامج الضارة المتطورة مثل QakBot و Emotet و IcedID هذه البنية. عُقد المستوى 2 C2 هي وسطاء بين خوادم القيادة والتحكم الرئيسية (المستوى 1) والأجهزة أو الروبوتات المعرضة للخطر (نقاط النهاية).
الغرض من عقد المستوى 2 هو تعزيز مرونة شبكة اتصالات البرامج الضارة والتخفي عنها. فهي تساعد في توزيع الأوامر وإشارات التحكم من خوادم C2 المركزية إلى شبكة من عقد المستوى 2 ، والتي تقوم بعد ذلك بنقل هذه التعليمات إلى الأجهزة الفردية المخترقة. يجعل هذا الإعداد الهرمي من الصعب على محللي الأمن تتبع الأنشطة الضارة إلى خوادم C2 الرئيسية ، مما يزيد من فرص البرامج الضارة في التهرب من الاكتشاف والإزالة.
غالبًا ما تتواصل عقد المستوى 2 C2 مع الأجهزة المعرضة للخطر باستخدام تقنيات مختلفة ، مثل خوارزميات إنشاء المجال أو شبكات التدفق السريع ، مما يزيد من تعقيد الجهود المبذولة لحظر أو إيقاف تشغيل قنوات اتصال البرامج الضارة. يستخدم المهاجمون عقد المستوى 2 C2 للحفاظ على السيطرة على شبكاتهم الروبوتية وتسهيل تنفيذ العمليات الضارة مع تقليل المخاطر المرتبطة بالاتصال المباشر بين الخادم المركزي والأجهزة المصابة.
استغلال خوادم C2
أحدث النتائج التي كشف عنها Team Cymru تسلط الضوء على انخفاض ملحوظ في عدد C2s الموجودة التي تتفاعل مع طبقة T2. الآن مع بقاء ثمانية فقط ، يُعزى هذا الانخفاض جزئيًا إلى إجراءات Black Lotus Labs للتوجيه الخالي للبنية التحتية ذات المستوى الأعلى في مايو 2023. ولاحظت الشركة انخفاضًا كبيرًا في حركة المرور من C2s الهندية والاختفاء القريب لـ C2s الأمريكية في يونيو تقريبًا 2 ، والتي يربطونها مع التوجيه الصفري لطبقة T2. بالإضافة إلى 15 خادم C2 ، أظهرت ستة خوادم C2 موجودة مسبقًا نشطة قبل يونيو وخادمان C2 تم تنشيطهما حديثًا في يونيو نشاطًا مستمرًا طوال شهر يوليو ، حتى بعد توقف أنشطة البريد العشوائي.
يعرض التدقيق الإضافي لبيانات NetFlow نمطًا متكررًا حيث غالبًا ما تتبع اتصالات T2 الخارجية المتزايدة الارتفاع في اتصالات bot C2 الواردة. بالإضافة إلى ذلك ، تتزامن الارتفاعات المفاجئة في اتصالات T2 الصادرة كثيرًا مع الانخفاضات في نشاط bot C2. أكد Team Cymru أنه من خلال توظيف الضحايا كبنية تحتية C2 مع اتصال T2 ، يفرض QakBot عبئًا مزدوجًا على المستخدمين ، أولاً من خلال التسوية الأولية ثم من خلال الضرر المحتمل لسمعتهم عندما يتم التعرف على مضيفهم علنًا على أنه ضار. أكدت الشركة أنه من خلال قطع الاتصالات مع خوادم المنبع ، لا يمكن للضحايا تلقي تعليمات C2 ، مما يحمي المستخدمين الحاليين والمستقبليين بشكل فعال من الاختراق.
حول QakBot
QakBot ، المعروف أيضًا باسم QBot ، كان حصان طروادة مصرفي سيئ السمعة وبرامج ضارة لسرقة المعلومات منذ حوالي عام 2007. ويستهدف بشكل أساسي أنظمة تشغيل Windows وهو مصمم لسرقة المعلومات المالية الحساسة من أجهزة الكمبيوتر المصابة ، مثل بيانات الاعتماد المصرفية وتفاصيل بطاقة الائتمان و بيانات شخصية. يأتي QakBot عادةً من خلال مرفقات بريد إلكتروني ضارة أو روابط أو مواقع ويب مصابة. بمجرد تثبيته على النظام ، يمكنه الاتصال بخوادم القيادة والتحكم (C2) ، مما يمكّن المتسللين من التحكم في الجهاز المصاب وتسلل البيانات المسروقة عن بُعد. أظهر QakBot مستوى عالٍ من التطور على مر السنين ، حيث طور تقنياته باستمرار لتجنب إجراءات الكشف والأمن. يمكن أن ينتشر أيضًا من خلال مشاركات الشبكة ويستغل نقاط الضعف للانتشار داخل الشبكة. بشكل عام ، يشكل QakBot تهديدًا كبيرًا للأفراد والمؤسسات نظرًا لقدرته على سرقة المعلومات الحساسة وربما يؤدي إلى خسائر مالية.
يعمل مشغلو البرامج الضارة في QakBot على تضخيم التهديد من خلال زيادة 15 خادم C2 جديد لقطة
