QakBoti pahavara operaatorid suurendavad ohtu 15 uue C2 serveriga
Hiljutise arenduse käigus on QakBoti (tuntud ka kui QBot) pahavara rühm loonud 2023. aasta juuni lõpuks uue 15 käsu- ja juhtimisserveri (C2) võrgu. See tähelepanek põhineb käimasoleval pahavara uurimisel. infrastruktuuri juhib Team Cymru. Märkimisväärne on see, et see laienemine järgneb täpselt pärast Lumen Black Lotus Labsi ilmutust, mis avalikustas, et veerand selle C2 serveritest on töökorras vaid ühe päeva, andes valgust QakBoti tegevuse dünaamilisele ja tabamatule olemusele.
QakBotil on suvekuudel tavapäraselt pikenenud seisakuid, mis tavaliselt kerkib uuesti pinnale septembris. Küberjulgeolekufirma andmetel peatusid selle rämpspostitustoimingud käesoleval aastal ligikaudu 22. juunil 2023. Siiski on näha, kas QakBoti operaatorid kasutavad seda seisakut puhkusena või kasutavad seda oma infrastruktuuri ja tööriistade täiustamiseks ja värskendamiseks.
Sisukord
Peen infrastruktuuri juurutamine
Sarnaselt Emoteti ja I cedID pahavara puhul täheldatud arhitektuuridele on QakBoti Command-and-Control (C2) võrgul mitmetasandiline struktuur. Selle korralduse raames suhtlevad C2-sõlmed kõrgema taseme 2. taseme (T2) C2-sõlmedega, mida hostivad Venemaal virtuaalse privaatserveri (VPS) pakkujad. Enamik bot C2 servereid, mis suhtlevad ohustatud ohvrite hostidega, asuvad peamiselt Ameerika Ühendriikides ja Indias. T2 sõlmedest väljuvate ühenduste analüüsimisel selgub, et sihtkoha IP-aadressid asuvad Ameerika Ühendriikides, Indias, Mehhikos ja Venezuelas. Lisaks sõlmedele C2 ja T2 muudab BackConnecti (BC) server ohustatud robotid puhverserveriteks, võimaldades neil teenindada mitmesuguseid pahatahtlikke tegevusi. See keerukas võrguarhitektuur rõhutab QakBoti jõupingutusi korraldada oma toiminguid mitmes geograafilises asukohas, suurendades selle võimet nakatunud süsteeme tõhusalt hallata ja kontrollida.
2. taseme C2 sõlmed viitavad küberohtude ja pahavara kontekstis mitmetasandilise arhitektuuri käsu- ja kontrolliinfrastruktuuri kesktasemele. Seda arhitektuuri kasutavad sageli keerukad pahavara tüved, nagu QakBot, Emotet ja IcedID. 2. taseme C2 sõlmed on vahendajad peamiste käsu- ja juhtimisserverite (1. tase) ja ohustatud seadmete või robotite (otspunktide) vahel.
Tier 2 sõlmede eesmärk on parandada ründevara sidevõrgu vastupidavust ja vargsi. Need aitavad jagada kesksetelt C2-serveritelt käske ja juhtsignaale 2. astme sõlmede võrku, mis seejärel edastavad need juhised üksikutele ohustatud seadmetele. See hierarhiline seadistus raskendab turvaanalüütikutel pahatahtlike tegevuste jälitamist peamistesse C2 serveritesse, suurendades seega pahavara võimalusi avastamisest ja eemaldamisest kõrvale hoida.
Tier 2 C2 sõlmed suhtlevad sageli ohustatud seadmetega, kasutades erinevaid tehnikaid, näiteks domeeni genereerimise algoritme või kiirvoovõrke, mis raskendab veelgi jõupingutusi pahavara sidekanalite blokeerimiseks või väljalülitamiseks. Ohutegijad kasutavad 2. taseme C2 solme, et säilitada kontroll oma robotvõrkude üle ja hõlbustada pahatahtlike toimingute sooritamist, minimeerides samal ajal keskserveri ja nakatunud seadmete vahelise otsesuhtlusega seotud riske.
Kasutatud C2 serverid
Team Cymru avaldatud uusimad leiud toovad esile T2-kihiga seotud olemasolevate C2-de arvu märkimisväärse vähenemise. Nüüd, kui alles on jäänud vaid kaheksa, on see langus osaliselt tingitud Black Lotus Labsi tegevusest kõrgema tasandi infrastruktuuri nullmarsruutimisel 2023. aasta mais. Ettevõte täheldas India C2-de liikluse olulist vähenemist ja USA C2-de peaaegu kadumist juunis. 2, mida nad seostavad T2 kihi nullmarsruutimisega. Lisaks 15-le C2-serverile näitasid kuus olemasolevat C2-serverit, mis olid aktiivsed enne juunit, ja kaks äsja aktiveeritud C2-serverit juunis, jätkuvat tegevust kogu juulikuu jooksul, isegi pärast rämpspostitustegevuse lõpetamist.
NetFlow andmete edasine uurimine näitab korduvat mustrit, kus suurenenud väljaminevad T2-ühendused järgivad sageli sissetulevate roboti C2 ühenduste hüppeid. Lisaks langevad väljaminevate T2 ühenduste tõusud sageli kokku roboti C2 aktiivsuse langustega. Team Cymru rõhutas, et kasutades ohvreid C2 infrastruktuurina koos T2 sidega, paneb QakBot kasutajatele kahekordse koormuse, esiteks esialgse kompromissi ja seejärel võimaliku kahjustamise kaudu nende mainele, kui nende host tunnistatakse avalikult pahatahtlikuks. Ettevõte rõhutas, et katkestades side ülesvoolu serveritega, ei saa ohvrid C2 juhiseid, mis kaitseb praeguseid ja tulevasi kasutajaid tõhusalt kompromisside eest.
QakBoti kohta
QakBot, tuntud ka kui QBot, on alates 2007. aastast olnud kurikuulus pangandustroojalane ja teavet varastav pahavara. See sihib peamiselt Windowsi operatsioonisüsteeme ja on loodud nakatunud arvutitest tundliku finantsteabe varastamiseks, nagu pangakaardid, krediitkaardi andmed ja isiklikud andmed. QakBot tuleb tavaliselt pahatahtlike meilimanuste, linkide või nakatunud veebisaitide kaudu. Kui see on süsteemi installitud, saab see luua ühenduse käsu-ja-juhtimise (C2) serveritega, võimaldades häkkeritel nakatunud masinat juhtida ja varastatud andmeid eemalt välja filtreerida. QakBot on aastate jooksul näidanud üles kõrget keerukuse taset, arendades pidevalt oma tehnikaid tuvastamisest ja turvameetmetest kõrvalehoidmiseks. See võib levida ka võrguosade kaudu ja kasutada võrgus levimiseks turvaauke. Üldiselt on QakBot suur oht üksikisikutele ja organisatsioonidele, kuna see suudab varastada tundlikku teavet ja põhjustada rahalist kahju.
QakBoti pahavara operaatorid suurendavad ohtu 15 uue C2 serveriga ekraanipilti
