Operátoři malwaru QakBot zesilují hrozbu nárůstem 15 nových serverů C2
V rámci nedávného vývoje skupina stojící za malwarem QakBot (také známý jako QBot) vytvořila do konce června 2023 novou síť 15 serverů pro příkazy a řízení (C2). Toto pozorování vychází z probíhajícího vyšetřování malwaru. infrastruktura vedená týmem Cymru. Je pozoruhodné, že toto rozšíření těsně následuje po odhalení laboratoří Lumen Black Lotus Labs, která odhalila, že čtvrtina jejích serverů C2 zůstává funkční pouze jeden den, což vrhá světlo na dynamickou a těžko uchopitelnou povahu operací QakBot .
QakBot tradičně vykazuje vzor prodloužených prostojů během letních měsíců, obvykle se obnovuje v září. V aktuálním roce se její spamovací operace zastavily přibližně 22. června 2023, uvádí firma zabývající se kybernetickou bezpečností. Zda však operátoři QakBot využijí tento výpadek jako dovolenou, nebo jej využijí k vylepšení a aktualizaci své infrastruktury a nástrojů, se teprve uvidí.
Obsah
Nasazení skvělé infrastruktury
Podobně jako u architektur pozorovaných u malwaru Emotet a I cedID má síť Command-and-Control (C2) QakBot vícevrstvou strukturu. V rámci tohoto uspořádání komunikují uzly C2 s uzly C2 vyšší úrovně Tier 2 (T2) hostovanými u poskytovatelů virtuálních privátních serverů (VPS) v Rusku. Většina serverů bot C2, které komunikují s hostiteli napadených obětí, je primárně ve Spojených státech a Indii. Analýza odchozích připojení z uzlů T2 ukazuje, že cílové IP adresy jsou ve Spojených státech, Indii, Mexiku a Venezuele. Vedle uzlů C2 a T2 přeměňuje napadené roboty na proxy server BackConnect (BC), který jim umožňuje obsluhovat různé škodlivé aktivity. Tato složitá síťová architektura podtrhuje úsilí společnosti QakBot zorganizovat své operace v různých geografických lokalitách, což zvyšuje její schopnost efektivně spravovat a kontrolovat infikované systémy.
Uzly úrovně 2 C2 v kontextu kybernetických hrozeb a malwaru označují střední úroveň infrastruktury příkazů a řízení v rámci vícevrstvé architektury. Tuto architekturu často využívají sofistikované kmeny malwaru jako QakBot, Emotet a IcedID. Uzly C2 úrovně 2 jsou prostředníky mezi hlavními servery pro příkazy a řízení (úroveň 1) a ohroženými zařízeními nebo roboty (koncovými body).
Účelem uzlů úrovně 2 je zvýšit odolnost a utajení komunikační sítě malwaru. Pomáhají distribuovat příkazy a řídicí signály z centrálních serverů C2 do sítě uzlů úrovně 2, které pak předávají tyto pokyny jednotlivým napadeným zařízením. Toto hierarchické nastavení ztěžuje bezpečnostním analytikům vysledování škodlivých aktivit zpět k hlavním serverům C2, čímž se zvyšuje šance malwaru uniknout detekci a odstranění.
Uzly úrovně 2 C2 často komunikují s napadenými zařízeními pomocí různých technik, jako jsou algoritmy pro generování domény nebo sítě s rychlým tokem, což dále komplikuje snahy o zablokování nebo vypnutí komunikačních kanálů malwaru. Aktéři hrozeb používají uzly Tier 2 C2 k udržení kontroly nad svými botnety a usnadnění provádění škodlivých operací a zároveň minimalizují rizika spojená s přímou komunikací mezi centrálním serverem a infikovanými zařízeními.
C2 servery zneužity
Nejnovější poznatky odhalené týmem Cymru zdůrazňují pozoruhodný pokles počtu existujících C2, které se zabývají vrstvou T2. Nyní, když zbývá pouze osm, je tento pokles částečně připisován akcím Black Lotus Labs, které provedly nulové směrování infrastruktury vyšší úrovně v květnu 2023. Společnost zaznamenala podstatné snížení provozu z indických C2 a téměř vymizení amerických C2 kolem června. 2, které spojují s nulovým směrováním vrstvy T2. Kromě 15 serverů C2 vykazovalo šest již existujících serverů C2 aktivních před červnem a dva nově aktivované servery C2 v červnu pokračující aktivitu po celý červenec, a to i po ukončení spamování.
Další zkoumání dat NetFlow ukazuje opakující se vzorec, kdy zvýšená odchozí připojení T2 často následují špičky v příchozích připojeních bot C2. Navíc skoky v odchozích T2 připojeních se často shodují s poklesy v aktivitě bot C2. Tým Cymru zdůraznil, že zaměstnáváním obětí jako infrastruktury C2 s komunikací T2 ukládá QakBot uživatelům dvojí zátěž, nejprve počátečním kompromisem a poté potenciálním poškozením jejich reputace, když je jejich hostitel veřejně uznán jako škodlivý. Společnost zdůraznila, že přerušením komunikace s upstream servery nemohou oběti přijímat instrukce C2, což účinně chrání současné a budoucí uživatele před kompromitováním.
O QakBot
QakBot, také známý jako QBot, je notoricky známý bankovní trojan a malware kradoucí informace od roku 2007. Primárně se zaměřuje na operační systémy Windows a je navržen tak, aby z infikovaných počítačů odcizil citlivé finanční informace, jako jsou bankovní přihlašovací údaje, údaje o kreditních kartách a osobní data. QakBot obvykle přichází prostřednictvím škodlivých e-mailových příloh, odkazů nebo infikovaných webových stránek. Po instalaci do systému se může připojit k serverům pro příkazy a řízení (C2), což hackerům umožňuje ovládat infikovaný počítač a vzdáleně exfiltrovat ukradená data. QakBot v průběhu let prokázal vysokou úroveň sofistikovanosti a neustále vyvíjí své techniky, aby se vyhnul detekčním a bezpečnostním opatřením. Může se také šířit prostřednictvím sdílení v síti a využívat zranitelnosti k šíření v rámci sítě. Celkově je QakBot významnou hrozbou pro jednotlivce a organizace kvůli své schopnosti krást citlivé informace a potenciálně vést k finančním ztrátám.
Operátoři malwaru QakBot zesilují hrozbu nárůstem 15 nových serverů C2 snímků obrazovky
