Операторите на зловреден софтуер QakBot увеличават заплахата с нарастване на 15 нови C2 сървъра
В едно скорошно развитие групата зад злонамерения софтуер QakBot (известен също като QBot) е създала нова мрежа от 15 командно-контролни (C2) сървъра до края на юни 2023 г. Това наблюдение се основава на текущото разследване на злонамерения софтуер инфраструктура, ръководена от Team Cymru. Забележително е, че това разширение следва отблизо разкритие от Lumen Black Lotus Labs, което разкри, че една четвърт от неговите C2 сървъри остават работещи само за един ден, хвърляйки светлина върху динамичния и неуловим характер на операциите на QakBot .
QakBot традиционно показва модел на продължителен престой през летните месеци, като обикновено се появява отново през септември. През текущата година неговите операции за спам са спрени приблизително на 22 юни 2023 г., според фирмата за киберсигурност. Въпреки това, дали операторите на QakBot използват този престой като ваканция или го използват за усъвършенстване и актуализиране на тяхната инфраструктура и инструменти, остава да видим.
Съдържание
Внедряване на изискана инфраструктура
Подобно на архитектурите, наблюдавани в зловреден софтуер Emotet и I cedID , мрежата за командване и контрол (C2) на QakBot показва многослойна структура. В рамките на това споразумение възлите C2 комуникират с възли C2 от по-високо ниво от Tier 2 (T2), хоствани на доставчици на виртуален частен сървър (VPS) в Русия. Повечето бот C2 сървъри, които комуникират с компрометираните жертви, са предимно в Съединените щати и Индия. Анализът на изходящите връзки от T2 възли разкрива, че целевите IP адреси са в Съединените щати, Индия, Мексико и Венецуела. Наред с възлите C2 и T2, BackConnect (BC) сървър трансформира компрометираните ботове в проксита, което им позволява да обслужват различни злонамерени дейности. Тази сложна мрежова архитектура подчертава усилията на QakBot да организира операциите си в множество географски местоположения, подобрявайки способността му за ефективно управление и контрол на заразени системи.
Възлите от ниво 2 C2, в контекста на киберзаплахи и злонамерен софтуер, се отнасят до междинното ниво на инфраструктура за командване и контрол в рамките на многослойна архитектура. Сложните видове зловреден софтуер като QakBot, Emotet и IcedID често използват тази архитектура. Възлите от ниво 2 C2 са посредници между главните командно-контролни сървъри (ниво 1) и компрометираните устройства или ботове (крайни точки).
Целта на възлите от ниво 2 е да подобрят устойчивостта и скритостта на комуникационната мрежа на злонамерения софтуер. Те помагат за разпространението на команди и контролни сигнали от централните C2 сървъри към мрежа от възли от ниво 2, които след това предават тези инструкции на отделните компрометирани устройства. Тази йерархична настройка затруднява анализаторите по сигурността да проследят злонамерените дейности обратно до основните C2 сървъри, като по този начин увеличават шансовете на злонамерения софтуер да избегне откриването и свалянето.
Възлите от ниво 2 C2 често комуникират с компрометираните устройства, използвайки различни техники, като например алгоритми за генериране на домейн или мрежи с бърз поток, което допълнително усложнява усилията за блокиране или изключване на комуникационните канали на зловреден софтуер. Актьорите на заплахи използват Tier 2 C2 възли, за да поддържат контрол над своите ботнети и да улеснят изпълнението на злонамерени операции, като същевременно минимизират рисковете, свързани с директната комуникация между централния сървър и заразените устройства.
Експлоатирани C2 сървъри
Най-новите констатации, разкрити от Team Cymru, подчертават забележителен спад в броя на съществуващите C2, които се ангажират с T2 слоя. Сега, когато остават само осем, това намаление отчасти се дължи на действията на Black Lotus Labs за нулево маршрутизиране на инфраструктурата от по-високо ниво през май 2023 г. Компанията наблюдава значително намаляване на трафика от индийски C2 и почти изчезване на американски C2 около юни 2, което те свързват с нулево маршрутизиране на слоя T2. В допълнение към 15-те C2 сървъра, шест вече съществуващи C2 сървъра, активни преди юни, и два новоактивирани C2 сървъра през юни показват продължителна активност през юли, дори след прекратяване на спам дейностите.
По-нататъшното изследване на данните от NetFlow показва повтарящ се модел, при който повишените изходящи T2 връзки често следват скокове във входящите бот C2 връзки. Освен това, скокове в изходящите T2 връзки често съвпадат със спадове в активността на бот C2. Екипът Cymru подчерта, че като използва жертвите като C2 инфраструктура с T2 комуникация, QakBot налага двойна тежест върху потребителите, първо чрез първоначалния компромет и след това чрез потенциалната вреда за тяхната репутация, когато хостът им бъде публично признат за злонамерен. Компанията подчертава, че чрез прекъсване на комуникациите със сървъри нагоре по веригата, жертвите не могат да получават C2 инструкции, ефективно предпазвайки настоящите и бъдещите потребители от компрометиране.
Относно QakBot
QakBot, известен още като QBot, е известен банков троян и злонамерен софтуер за кражба на информация от около 2007 г. Той е насочен основно към операционни системи Windows и е предназначен да краде чувствителна финансова информация от заразени компютри, като банкови идентификационни данни, данни за кредитни карти и лични данни. QakBot обикновено идва чрез злонамерени прикачени файлове към имейл, връзки или заразени уебсайтове. Веднъж инсталиран на система, той може да се свързва със сървъри за командване и контрол (C2), позволявайки на хакерите да контролират заразената машина и да ексфилтрират откраднати данни от разстояние. QakBot демонстрира високо ниво на усъвършенстване през годините, като непрекъснато развива своите техники за избягване на откриване и мерки за сигурност. Може също така да се разпространи чрез мрежови споделяния и да използва уязвимости, за да се разпространява в мрежата. Като цяло QakBot е значителна заплаха за лица и организации поради способността си да краде чувствителна информация и потенциално да води до финансови загуби.
Операторите на зловреден софтуер QakBot увеличават заплахата с нарастване на 15 нови C2 сървъра екранни снимки
