Els operadors de programari maliciós de QakBot amplien l'amenaça amb l'augment de 15 nous servidors C2
En un desenvolupament recent, el grup darrere del programari maliciós QakBot (també conegut com a QBot) ha establert una nova xarxa de 15 servidors de comandament i control (C2) a finals de juny de 2023. Aquesta observació es basa en la investigació en curs del programari maliciós. infraestructura realitzada per l'equip Cymru. Notablement, aquesta expansió segueix de prop una revelació de Lumen Black Lotus Labs, que va revelar que una quarta part dels seus servidors C2 romanen operatius durant un sol dia, donant llum a la naturalesa dinàmica i evasiva de les operacions de QakBot .
QakBot presenta tradicionalment un patró de temps d'inactivitat prolongat durant els mesos d'estiu, que normalment torna a aparèixer al setembre. L'any en curs, les seves operacions de correu brossa es van aturar aproximadament el 22 de juny de 2023, segons la firma de ciberseguretat. Tanmateix, queda per veure si els operadors de QakBot utilitzen aquest temps d'inactivitat com a vacances o l'utilitzen per perfeccionar i actualitzar la seva infraestructura i eines.
Taula de continguts
Implantació d'una infraestructura exquisida
De manera similar a les arquitectures observades al programari maliciós Emotet i I cedID , la xarxa Command-and-Control (C2) de QakBot presenta una estructura de diversos nivells. Dins d'aquest acord, els nodes C2 es comuniquen amb nodes C2 de nivell 2 (T2) de nivell superior allotjats en proveïdors de servidors privats virtuals (VPS) a Rússia. La majoria dels servidors C2 de bot, que es comuniquen amb els amfitrions de les víctimes compromeses, es troben principalment als Estats Units i l'Índia. L'anàlisi de les connexions sortints dels nodes T2 revela que les adreces IP de destinació es troben als Estats Units, l'Índia, Mèxic i Veneçuela. Al costat dels nodes C2 i T2, un servidor BackConnect (BC) transforma els robots compromesos en servidors intermediaris, cosa que els permet servir diverses activitats malicioses. Aquesta complexa arquitectura de xarxa subratlla els esforços de QakBot per orquestrar les seves operacions en múltiples ubicacions geogràfiques, millorant la seva capacitat per gestionar i controlar de manera eficaç els sistemes infectats.
Els nodes C2 de nivell 2, en el context de les amenaces cibernètiques i el programari maliciós, fan referència al nivell intermedi d'infraestructura de comandament i control dins d'una arquitectura de diversos nivells. Les soques de programari maliciós sofisticats com QakBot, Emotet i IcedID sovint utilitzen aquesta arquitectura. Els nodes C2 de nivell 2 són intermediaris entre els principals servidors de comandament i control (nivell 1) i els dispositius o bots compromesos (punts finals).
L'objectiu dels nodes de nivell 2 és millorar la resiliència i el sigil de la xarxa de comunicació del programari maliciós. Ajuden a distribuir ordres i senyals de control des dels servidors centrals C2 a una xarxa de nodes de nivell 2, que després transmeten aquestes instruccions als dispositius compromesos individuals. Aquesta configuració jeràrquica fa que sigui més difícil per als analistes de seguretat rastrejar les activitats malicioses fins als servidors C2 principals, augmentant així les possibilitats del programari maliciós d'evadir la detecció i la retirada.
Els nodes C2 de nivell 2 sovint es comuniquen amb els dispositius compromesos mitjançant diverses tècniques, com ara algorismes de generació de dominis o xarxes de flux ràpid, cosa que complica encara més els esforços per bloquejar o desactivar els canals de comunicació del programari maliciós. Els actors de l'amenaça utilitzen nodes de nivell 2 C2 per mantenir el control sobre les seves xarxes de bots i facilitar l'execució d'operacions malicioses alhora que minimitzen els riscos associats a la comunicació directa entre el servidor central i els dispositius infectats.
Servidors C2 explotats
Les troballes més recents presentades per l'equip Cymru posen de manifest un descens notable en el recompte de C2 existents que s'interaccionen amb la capa T2. Ara, amb només vuit restants, aquesta disminució s'atribueix en part a les accions de Black Lotus Labs d'enrutament nul de la infraestructura de nivell superior el maig de 2023. La companyia va observar una reducció substancial del trànsit dels C2 indis i la gairebé desaparició dels C2 nord-americans al voltant de juny. 2, que associen amb l'encaminament nul de la capa T2. A més dels 15 servidors C2, sis servidors C2 preexistents actius abans de juny i dos servidors C2 recentment activats al juny van mostrar una activitat continuada durant tot el juliol, fins i tot després del cessament de les activitats de correu brossa.
Un escrutini més detallat de les dades de NetFlow mostra un patró recurrent on les connexions T2 sortints augmentades sovint segueixen pics a les connexions C2 del bot entrants. A més, els augments de les connexions T2 sortints sovint coincideixen amb caigudes en l'activitat del bot C2. L'equip Cymru va destacar que en emprar víctimes com a infraestructura C2 amb comunicació T2, QakBot imposa una càrrega doble als usuaris, primer a través del compromís inicial i després pel dany potencial a la seva reputació quan el seu amfitrió és reconegut públicament com a maliciós. L'empresa va subratllar que en tallar les comunicacions amb els servidors aigües amunt, les víctimes no poden rebre instruccions C2, protegint eficaçment els usuaris actuals i futurs contra el compromís.
Sobre QakBot
QakBot, també conegut com a QBot, és un troià bancari notori i un programari maliciós per robar informació des del 2007. Està dirigit principalment als sistemes operatius Windows i està dissenyat per robar informació financera sensible d'ordinadors infectats, com ara credencials bancàries, dades de targetes de crèdit i dades personals. QakBot sol arribar a través de fitxers adjunts de correu electrònic maliciosos, enllaços o llocs web infectats. Un cop instal·lat en un sistema, es pot connectar amb servidors de comandament i control (C2), cosa que permet als pirates informàtics controlar la màquina infectada i exfiltrar les dades robades de forma remota. QakBot ha demostrat un alt nivell de sofisticació al llarg dels anys, evolucionant constantment les seves tècniques per evadir les mesures de detecció i seguretat. També es pot estendre a través de recursos compartits de xarxa i explotar vulnerabilitats per propagar-se dins d'una xarxa. En general, QakBot és una amenaça important per a persones i organitzacions a causa de la seva capacitat per robar informació confidencial i potencialment provocar pèrdues financeres.
Els operadors de programari maliciós de QakBot amplien l’amenaça amb l’augment de 15 nous servidors C2 captures de pantalla
