اپراتورهای بدافزار QakBot با افزایش 15 سرور جدید C2، تهدید را تقویت می کنند
در توسعه اخیر، گروهی که پشت بدافزار QakBot (همچنین به عنوان QBot شناخته می شود) شبکه جدیدی از 15 سرور فرمان و کنترل (C2) را تا پایان ژوئن 2023 ایجاد کرده است. زیرساخت انجام شده توسط تیم Cymru. شایان ذکر است، این گسترش از نزدیک پس از افشاگری توسط Lumen Black Lotus Labs دنبال میشود که فاش کرد که یک چهارم سرورهای C2 آن تنها برای یک روز فعال باقی میمانند و ماهیت پویا و گریزان عملیات QakBot را روشن میکند.
QakBot به طور سنتی الگوی توقف طولانی مدت در طول ماه های تابستان را نشان می دهد که معمولاً در سپتامبر دوباره ظاهر می شود. به گفته این شرکت امنیت سایبری، در سال جاری، عملیات ارسال هرزنامه تقریباً در 22 ژوئن 2023 متوقف شد. با این حال، اینکه آیا اپراتورهای QakBot از این زمان خاموشی به عنوان تعطیلات استفاده می کنند یا از آن برای اصلاح و به روز رسانی زیرساخت ها و ابزارهای خود استفاده می کنند، باید دید.
فهرست مطالب
استقرار زیرساخت های عالی
مشابه معماری مشاهده شده در بدافزار Emotet و I cedID ، شبکه Command-and-Control (C2) QakBot ساختار چند لایه ای را نشان می دهد. در این ترتیب، گره های C2 با گره های سطح بالاتر سطح 2 (T2) C2 که بر روی ارائه دهندگان سرور خصوصی مجازی (VPS) در روسیه میزبانی می شوند، ارتباط برقرار می کنند. اکثر سرورهای ربات C2، که با میزبان قربانی در معرض خطر ارتباط برقرار می کنند، عمدتاً در ایالات متحده و هند هستند. تجزیه و تحلیل اتصالات خروجی از گرههای T2 نشان میدهد که آدرسهای IP مقصد در ایالات متحده، هند، مکزیک و ونزوئلا هستند. در کنار گره های C2 و T2، یک سرور BackConnect (BC) ربات های در معرض خطر را به پروکسی تبدیل می کند و آنها را قادر می سازد تا فعالیت های مخرب مختلف را ارائه دهند. این معماری شبکه پیچیده بر تلاشهای QakBot برای سازماندهی عملیات خود در چندین مکان جغرافیایی تأکید میکند و توانایی آن را برای مدیریت و کنترل مؤثر سیستمهای آلوده افزایش میدهد.
گره های سطح 2 C2، در زمینه تهدیدات سایبری و بدافزارها، به سطح متوسط زیرساخت فرماندهی و کنترل در یک معماری چند لایه اشاره دارند. گونه های بدافزار پیچیده مانند QakBot، Emotet و IcedID اغلب از این معماری استفاده می کنند. گره های سطح 2 C2 واسطه بین سرورهای اصلی فرمان و کنترل (Tier 1) و دستگاه ها یا ربات های در معرض خطر (نقاط پایانی) هستند.
هدف از گره های Tier 2 افزایش انعطاف پذیری و پنهان کاری شبکه ارتباطی بدافزار است. آنها به توزیع دستورات و سیگنالهای کنترل از سرورهای مرکزی C2 به شبکهای از گرههای ردیف 2 کمک میکنند، که سپس این دستورالعملها را به دستگاههای در معرض خطر منفرد منتقل میکنند. این تنظیمات سلسله مراتبی، ردیابی فعالیتهای مخرب به سرورهای اصلی C2 را برای تحلیلگران امنیتی سختتر میکند، بنابراین شانس بدافزار برای فرار از شناسایی و حذف را افزایش میدهد.
گره های سطح 2 C2 اغلب با استفاده از تکنیک های مختلف، مانند الگوریتم های تولید دامنه یا شبکه های شار سریع، با دستگاه های در معرض خطر ارتباط برقرار می کنند که تلاش ها برای مسدود کردن یا خاموش کردن کانال های ارتباطی بدافزار را پیچیده تر می کند. عوامل تهدید از گرههای Tier 2 C2 برای حفظ کنترل بر باتنتهای خود و تسهیل اجرای عملیات مخرب استفاده میکنند و در عین حال خطرات مرتبط با ارتباط مستقیم بین سرور مرکزی و دستگاههای آلوده را به حداقل میرسانند.
سرورهای C2 مورد سوء استفاده قرار گرفتند
جدیدترین یافتههای پردهبرداری شده توسط تیم Cymru کاهش قابلتوجهی را در تعداد C2های موجود که با لایه T2 درگیر هستند، نشان میدهد. اکنون با تنها هشت مورد باقی مانده، این کاهش تا حدی به اقدامات آزمایشگاههای بلک لوتوس برای مسیریابی تهی زیرساختهای سطح بالاتر در ماه مه 2023 نسبت داده میشود. این شرکت کاهش قابل توجهی در ترافیک C2 هندی و ناپدید شدن تقریباً C2های ایالات متحده در حدود ژوئن مشاهده کرد. 2، که آنها را با مسیریابی تهی لایه T2 مرتبط می کنند. علاوه بر 15 سرور C2، 6 سرور C2 از قبل فعال قبل از ژوئن و دو سرور C2 تازه فعال شده در ماه ژوئن فعالیت خود را در طول ماه جولای، حتی پس از توقف فعالیت های ارسال هرزنامه، نشان دادند.
بررسی دقیق بیشتر دادههای NetFlow یک الگوی تکرارشونده را نشان میدهد که در آن افزایش اتصالات خروجی T2 اغلب به دنبال افزایش در اتصالات C2 ربات ورودی است. علاوه بر این، افزایش در اتصالات T2 خروجی اغلب با کاهش فعالیت ربات C2 همزمان است. تیم Cymru تاکید کرد که با به کارگیری قربانیان به عنوان زیرساخت C2 با ارتباطات T2، QakBot بار دوگانه ای را به کاربران تحمیل می کند، ابتدا از طریق مصالحه اولیه و سپس از طریق آسیب احتمالی به شهرت آنها هنگامی که میزبان آنها به طور عمومی به عنوان مخرب شناخته می شود. این شرکت تاکید کرد که با قطع ارتباط با سرورهای بالادست، قربانیان نمی توانند دستورالعمل های C2 را دریافت کنند، و به طور موثر از کاربران فعلی و آینده در برابر سازش محافظت می کند.
درباره QakBot
QakBot که با نام QBot نیز شناخته میشود، از حدود سال 2007 یک تروجان بانکی و بدافزار سرقت اطلاعات بدنام بوده است. این بدافزار عمدتاً سیستمهای عامل ویندوز را هدف قرار میدهد و برای سرقت اطلاعات مالی حساس از رایانههای آلوده طراحی شده است، مانند اعتبار بانکی، جزئیات کارت اعتباری، و اطلاعات شخصی. QakBot معمولاً از طریق پیوست های ایمیل مخرب، پیوندها یا وب سایت های آلوده ارائه می شود. پس از نصب بر روی یک سیستم، میتواند با سرورهای فرمان و کنترل (C2) متصل شود و هکرها را قادر میسازد تا دستگاه آلوده را کنترل کرده و دادههای دزدیده شده را از راه دور استخراج کنند. QakBot در طول سال ها سطح بالایی از پیچیدگی را نشان داده است و به طور مداوم تکنیک های خود را برای فرار از تشخیص و اقدامات امنیتی توسعه می دهد. همچنین میتواند از طریق اشتراکهای شبکه پخش شود و از آسیبپذیریها برای انتشار در یک شبکه سوء استفاده کند. به طور کلی، QakBot به دلیل توانایی آن در سرقت اطلاعات حساس و به طور بالقوه منجر به خسارات مالی، یک تهدید قابل توجه برای افراد و سازمان ها است.
اپراتورهای بدافزار QakBot با افزایش 15 سرور جدید C2، تهدید را تقویت می کنند اسکرین شات