QakBot Malware-operatører forstærker truslen med 15 nye C2-servere
I en nylig udvikling har gruppen bag QakBot (også kendt som QBot) malware etableret et nyt netværk af 15 kommando-og-kontrol (C2) servere inden udgangen af juni 2023. Denne observation bygger på den igangværende undersøgelse af malwarens infrastruktur udført af Team Cymru. Bemærkelsesværdigt nok følger denne udvidelse tæt efter en afsløring fra Lumen Black Lotus Labs, som afslørede, at en fjerdedel af dets C2-servere forbliver operationelle i kun en enkelt dag, hvilket kaster lys over den dynamiske og uhåndgribelige karakter af QakBots operationer.
QakBot udviser traditionelt et mønster af længere nedetid i sommermånederne, som typisk genopstår i september. I indeværende år stoppede dets spamming cirka den 22. juni 2023, ifølge cybersikkerhedsfirmaet. Hvorvidt QakBot-operatørerne bruger denne nedetid som en ferie eller bruger den til at forfine og opdatere deres infrastruktur og værktøjer, skal dog vise sig.
Indholdsfortegnelse
Implementering af udsøgt infrastruktur
I lighed med de arkitekturer, der observeres i Emotet og I cedID malware, udviser Command-and-Control (C2) netværket i QakBot en flerlagsstruktur. Inden for dette arrangement kommunikerer C2-knudepunkterne med højere niveau Tier 2 (T2) C2-noder, der hostes på udbydere af virtuelle private servere (VPS) i Rusland. De fleste bot C2-servere, som kommunikerer med de kompromitterede offerværter, er primært i USA og Indien. En analyse af de udgående forbindelser fra T2-knudepunkter afslører, at destinations-IP-adresserne er i USA, Indien, Mexico og Venezuela. Ved siden af C2- og T2-noderne omdanner en BackConnect-server (BC) de kompromitterede bots til proxyer, hvilket gør dem i stand til at betjene forskellige ondsindede aktiviteter. Denne indviklede netværksarkitektur understreger QakBots bestræbelser på at orkestrere sine operationer på tværs af flere geografiske placeringer, hvilket forbedrer dets evne til effektivt at administrere og kontrollere inficerede systemer.
Tier 2 C2-noder, i sammenhæng med cybertrusler og malware, refererer til det mellemliggende niveau af kommando-og-kontrol-infrastruktur i en flerlagsarkitektur. Sofistikerede malware-stammer som QakBot, Emotet og IcedID anvender ofte denne arkitektur. Tier 2 C2 noder er mellemled mellem de vigtigste kommando-og-kontrol-servere (Tier 1) og de kompromitterede enheder eller bots (endepunkter).
Formålet med Tier 2 noder er at forbedre modstandsdygtigheden og stealth af malware's kommunikationsnetværk. De hjælper med at distribuere kommandoer og styresignaler fra de centrale C2-servere til et netværk af Tier 2-noder, som derefter videresender disse instruktioner til de individuelle kompromitterede enheder. Denne hierarkiske opsætning gør det sværere for sikkerhedsanalytikere at spore de ondsindede aktiviteter tilbage til de vigtigste C2-servere, hvilket øger malwarens chancer for at undgå opdagelse og fjernelser.
Tier 2 C2-noder kommunikerer ofte med de kompromitterede enheder ved hjælp af forskellige teknikker, såsom domænegenereringsalgoritmer eller fast-flux-netværk, hvilket yderligere komplicerer bestræbelserne på at blokere eller slukke for malwarens kommunikationskanaler. Trusselsaktører bruger Tier 2 C2-noder til at opretholde kontrol over deres botnets og lette udførelsen af ondsindede operationer, mens de minimerer risiciene forbundet med direkte kommunikation mellem den centrale server og de inficerede enheder.
C2-servere udnyttet
De seneste resultater afsløret af Team Cymru fremhæver et bemærkelsesværdigt fald i antallet af eksisterende C2'er, der interagerer med T2-laget. Nu med kun otte tilbage, tilskrives dette fald delvist Black Lotus Labs' handlinger med null-routing af den højere infrastruktur i maj 2023. Virksomheden observerede en væsentlig reduktion i trafikken fra indiske C2'er og den næsten forsvinden af amerikanske C2'er omkring juni 2, som de forbinder med null-routing af T2-laget. Ud over de 15 C2-servere, viste seks allerede eksisterende C2-servere, der var aktive før juni og to nyligt aktiverede C2-servere i juni, fortsat aktivitet i hele juli, selv efter ophør af spamming-aktiviteter.
Yderligere undersøgelse af NetFlow-data viser et tilbagevendende mønster, hvor øgede udgående T2-forbindelser ofte følger spidser i indgående bot C2-forbindelser. Derudover falder stigninger i udgående T2-forbindelser ofte sammen med fald i bot C2-aktivitet. Team Cymru fremhævede, at ved at anvende ofre som C2-infrastruktur med T2-kommunikation, pålægger QakBot en dobbelt byrde på brugerne, først gennem det indledende kompromis og derefter gennem den potentielle skade på deres omdømme, når deres vært er offentligt anerkendt som ondsindet. Virksomheden understregede, at ved at afbryde kommunikationen med upstream-servere, kan ofre ikke modtage C2-instruktioner, hvilket effektivt beskytter nuværende og fremtidige brugere mod kompromis.
Om QakBot
QakBot, også kendt som QBot, har været en berygtet banktrojaner og informationstjælende malware siden omkring 2007. Den er primært rettet mod Windows-operativsystemer og er designet til at stjæle følsomme finansielle oplysninger fra inficerede computere, såsom bankoplysninger, kreditkortoplysninger og personlig data. QakBot kommer normalt gennem ondsindede vedhæftede filer, links eller inficerede websteder. Når den er installeret på et system, kan den oprette forbindelse til kommando-og-kontrol-servere (C2), hvilket gør det muligt for hackere at kontrollere den inficerede maskine og fjerne stjålne data. QakBot har demonstreret et højt niveau af sofistikering gennem årene og har konstant udviklet sine teknikker for at undgå detektion og sikkerhedsforanstaltninger. Det kan også spredes gennem netværksshares og udnytte sårbarheder til at sprede sig inden for et netværk. Samlet set er QakBot en væsentlig trussel mod enkeltpersoner og organisationer på grund af dets evne til at stjæle følsomme oplysninger og potentielt føre til økonomiske tab.
QakBot Malware-operatører forstærker truslen med 15 nye C2-servere Skærmbilleder
