Οι χειριστές κακόβουλου λογισμικού QakBot ενισχύουν την απειλή με αύξηση 15 νέων διακομιστών C2
Σε μια πρόσφατη εξέλιξη, η ομάδα πίσω από το κακόβουλο λογισμικό QakBot (επίσης γνωστό ως QBot) έχει δημιουργήσει ένα νέο δίκτυο 15 διακομιστών εντολής και ελέγχου (C2) μέχρι τα τέλη Ιουνίου 2023. Αυτή η παρατήρηση βασίζεται στη συνεχιζόμενη έρευνα για το κακόβουλο λογισμικό υποδομή που διεξάγεται από την ομάδα Cymru. Είναι αξιοσημείωτο ότι αυτή η επέκταση ακολουθεί στενά μετά από μια αποκάλυψη από την Lumen Black Lotus Labs, η οποία αποκάλυψε ότι το ένα τέταρτο των διακομιστών της C2 παραμένουν λειτουργικοί για μία μόνο μέρα, ρίχνοντας φως στη δυναμική και άπιαστη φύση των λειτουργιών του QakBot .
Το QakBot παρουσιάζει παραδοσιακά ένα μοτίβο εκτεταμένου χρόνου διακοπής λειτουργίας κατά τους καλοκαιρινούς μήνες, συνήθως επανεμφανίζεται τον Σεπτέμβριο. Κατά το τρέχον έτος, οι λειτουργίες του spamming σταμάτησαν περίπου στις 22 Ιουνίου 2023, σύμφωνα με την εταιρεία κυβερνοασφάλειας. Ωστόσο, το αν οι χειριστές του QakBot χρησιμοποιούν αυτό το χρόνο διακοπής λειτουργίας ως διακοπές ή το χρησιμοποιούν για τη βελτίωση και την ενημέρωση της υποδομής και των εργαλείων τους, μένει να φανεί.
Πίνακας περιεχομένων
Ανάπτυξη εξαιρετικής υποδομής
Παρόμοια με τις αρχιτεκτονικές που παρατηρούνται στο κακόβουλο λογισμικό Emotet και I cedID , το δίκτυο Command-and-Control (C2) του QakBot παρουσιάζει μια δομή πολλαπλών επιπέδων. Στο πλαίσιο αυτής της διευθέτησης, οι κόμβοι C2 επικοινωνούν με κόμβους υψηλότερου επιπέδου Tier 2 (T2) C2 που φιλοξενούνται σε παρόχους εικονικών ιδιωτικών διακομιστών (VPS) στη Ρωσία. Οι περισσότεροι διακομιστές bot C2, οι οποίοι επικοινωνούν με τους παραβιασμένους κεντρικούς υπολογιστές θυμάτων, βρίσκονται κυρίως στις Ηνωμένες Πολιτείες και την Ινδία. Η ανάλυση των εξερχόμενων συνδέσεων από τους κόμβους T2 αποκαλύπτει ότι οι διευθύνσεις IP προορισμού βρίσκονται στις Ηνωμένες Πολιτείες, την Ινδία, το Μεξικό και τη Βενεζουέλα. Παράλληλα με τους κόμβους C2 και T2, ένας διακομιστής BackConnect (BC) μετατρέπει τα παραβιασμένα bot σε proxies, επιτρέποντάς τους να εξυπηρετούν διάφορες κακόβουλες δραστηριότητες. Αυτή η περίπλοκη αρχιτεκτονική δικτύου υπογραμμίζει τις προσπάθειες του QakBot να ενορχηστρώσει τις δραστηριότητές του σε πολλές γεωγραφικές τοποθεσίες, ενισχύοντας την ικανότητά του να διαχειρίζεται και να ελέγχει αποτελεσματικά τα μολυσμένα συστήματα.
Οι κόμβοι βαθμίδας 2 C2, στο πλαίσιο των απειλών στον κυβερνοχώρο και του κακόβουλου λογισμικού, αναφέρονται στο ενδιάμεσο επίπεδο της υποδομής εντολών και ελέγχου σε μια αρχιτεκτονική πολλαπλών επιπέδων. Τα εξελιγμένα στελέχη κακόβουλου λογισμικού όπως τα QakBot, Emotet και IcedID χρησιμοποιούν συχνά αυτήν την αρχιτεκτονική. Οι κόμβοι επιπέδου 2 C2 είναι ενδιάμεσοι μεταξύ των κύριων διακομιστών εντολών και ελέγχου (Tier 1) και των παραβιασμένων συσκευών ή ρομπότ (τελικά σημεία).
Ο σκοπός των κόμβων Tier 2 είναι να ενισχύσουν την ανθεκτικότητα και τη μυστικότητα του δικτύου επικοινωνίας του κακόβουλου λογισμικού. Βοηθούν στη διανομή εντολών και σημάτων ελέγχου από τους κεντρικούς διακομιστές C2 σε ένα δίκτυο κόμβων Βαθμίδας 2, οι οποίοι στη συνέχεια αναμεταδίδουν αυτές τις οδηγίες στις μεμονωμένες παραβιασμένες συσκευές. Αυτή η ιεραρχική ρύθμιση καθιστά πιο δύσκολο για τους αναλυτές ασφαλείας να εντοπίσουν τις κακόβουλες δραστηριότητες στους κύριους διακομιστές C2, αυξάνοντας έτσι τις πιθανότητες του κακόβουλου λογισμικού να αποφύγει τον εντοπισμό και την κατάργηση.
Οι κόμβοι επιπέδου 2 C2 συχνά επικοινωνούν με τις παραβιασμένες συσκευές χρησιμοποιώντας διάφορες τεχνικές, όπως αλγόριθμους δημιουργίας τομέα ή δίκτυα γρήγορης ροής, γεγονός που περιπλέκει περαιτέρω τις προσπάθειες αποκλεισμού ή απενεργοποίησης των καναλιών επικοινωνίας του κακόβουλου λογισμικού. Οι φορείς απειλών χρησιμοποιούν κόμβους Tier 2 C2 για να διατηρήσουν τον έλεγχο των botnet τους και να διευκολύνουν την εκτέλεση κακόβουλων λειτουργιών, ελαχιστοποιώντας ταυτόχρονα τους κινδύνους που σχετίζονται με την άμεση επικοινωνία μεταξύ του κεντρικού διακομιστή και των μολυσμένων συσκευών.
C2 Servers Exploited
Τα πιο πρόσφατα ευρήματα που αποκαλύφθηκαν από την Team Cymru υπογραμμίζουν μια αξιοσημείωτη μείωση στον αριθμό των υπαρχόντων C2 που εμπλέκονται με το επίπεδο T2. Τώρα με μόνο οκτώ απομένουν, αυτή η μείωση αποδίδεται εν μέρει στις ενέργειες της Black Lotus Labs για μηδενική δρομολόγηση της υποδομής υψηλότερης βαθμίδας τον Μάιο του 2023. Η εταιρεία παρατήρησε σημαντική μείωση της κυκλοφορίας από τα ινδικά C2 και την σχεδόν εξαφάνιση των C2 των ΗΠΑ γύρω στον Ιούνιο 2, το οποίο συσχετίζουν με μηδενική δρομολόγηση του επιπέδου Τ2. Εκτός από τους 15 διακομιστές C2, έξι προϋπάρχοντες διακομιστές C2 που ήταν ενεργοί πριν από τον Ιούνιο και δύο πρόσφατα ενεργοποιημένοι διακομιστές C2 τον Ιούνιο παρουσίασαν συνεχιζόμενη δραστηριότητα όλο τον Ιούλιο, ακόμη και μετά τη διακοπή των δραστηριοτήτων ανεπιθύμητης αλληλογραφίας.
Ο περαιτέρω έλεγχος των δεδομένων NetFlow εμφανίζει ένα επαναλαμβανόμενο μοτίβο όπου οι αυξημένες εξερχόμενες συνδέσεις T2 συχνά ακολουθούν αιχμές στις εισερχόμενες συνδέσεις bot C2. Επιπλέον, οι αυξήσεις στις εξερχόμενες συνδέσεις T2 συχνά συμπίπτουν με τις βυθίσεις στη δραστηριότητα C2 του bot. Η ομάδα Cymru τόνισε ότι χρησιμοποιώντας τα θύματα ως υποδομή C2 με επικοινωνία T2, το QakBot επιβάλλει διπλό βάρος στους χρήστες, πρώτα μέσω του αρχικού συμβιβασμού και στη συνέχεια μέσω της πιθανής βλάβης στη φήμη τους όταν ο οικοδεσπότης τους αναγνωρίζεται δημόσια ως κακόβουλος. Η εταιρεία τόνισε ότι με τη διακοπή της επικοινωνίας με διακομιστές upstream, τα θύματα δεν μπορούν να λάβουν οδηγίες C2, προστατεύοντας αποτελεσματικά τους τρέχοντες και μελλοντικούς χρήστες από συμβιβασμούς.
Σχετικά με το QakBot
Το QakBot, γνωστό και ως QBot, είναι ένα διαβόητο τραπεζικό trojan και κακόβουλο λογισμικό κλοπής πληροφοριών από το 2007 περίπου. Στοχεύει κυρίως λειτουργικά συστήματα Windows και έχει σχεδιαστεί για να κλέβει ευαίσθητες οικονομικές πληροφορίες από μολυσμένους υπολογιστές, όπως τραπεζικά διαπιστευτήρια, στοιχεία πιστωτικών καρτών και προσωπικά δεδομένα. Το QakBot έρχεται συνήθως μέσω κακόβουλων συνημμένων email, συνδέσμων ή μολυσμένων ιστότοπων. Μόλις εγκατασταθεί σε ένα σύστημα, μπορεί να συνδεθεί με διακομιστές εντολών και ελέγχου (C2), δίνοντας τη δυνατότητα στους χάκερ να ελέγχουν το μολυσμένο μηχάνημα και να εκμεταλλεύονται τα κλεμμένα δεδομένα εξ αποστάσεως. Το QakBot έχει επιδείξει υψηλό επίπεδο πολυπλοκότητας όλα αυτά τα χρόνια, εξελίσσοντας συνεχώς τις τεχνικές του για να αποφεύγει τον εντοπισμό και τα μέτρα ασφαλείας. Μπορεί επίσης να εξαπλωθεί μέσω κοινών χρήσεων δικτύου και να εκμεταλλευτεί τρωτά σημεία για να διαδοθεί σε ένα δίκτυο. Συνολικά, το QakBot αποτελεί σημαντική απειλή για άτομα και οργανισμούς λόγω της ικανότητάς του να κλέβει ευαίσθητες πληροφορίες και να οδηγεί ενδεχομένως σε οικονομικές απώλειες.
Οι χειριστές κακόβουλου λογισμικού QakBot ενισχύουν την απειλή με αύξηση 15 νέων διακομιστών C2 Στιγμιότυπα οθόνης
