اپراتورهای بدافزار QakBot با افزایش 15 سرور جدید C2، تهدید را تقویت می کنند

در توسعه اخیر، گروهی که پشت بدافزار QakBot (همچنین به عنوان QBot شناخته می شود) شبکه جدیدی از 15 سرور فرمان و کنترل (C2) را تا پایان ژوئن 2023 ایجاد کرده است. زیرساخت انجام شده توسط تیم Cymru. شایان ذکر است، این گسترش از نزدیک پس از افشاگری توسط Lumen Black Lotus Labs دنبال می‌شود که فاش کرد که یک چهارم سرورهای C2 آن تنها برای یک روز فعال باقی می‌مانند و ماهیت پویا و گریزان عملیات QakBot را روشن می‌کند.

QakBot به طور سنتی الگوی توقف طولانی مدت در طول ماه های تابستان را نشان می دهد که معمولاً در سپتامبر دوباره ظاهر می شود. به گفته این شرکت امنیت سایبری، در سال جاری، عملیات ارسال هرزنامه تقریباً در 22 ژوئن 2023 متوقف شد. با این حال، اینکه آیا اپراتورهای QakBot از این زمان خاموشی به عنوان تعطیلات استفاده می کنند یا از آن برای اصلاح و به روز رسانی زیرساخت ها و ابزارهای خود استفاده می کنند، باید دید.

استقرار زیرساخت های عالی

مشابه معماری مشاهده شده در بدافزار Emotet و I cedID ، شبکه Command-and-Control (C2) QakBot ساختار چند لایه ای را نشان می دهد. در این ترتیب، گره های C2 با گره های سطح بالاتر سطح 2 (T2) C2 که بر روی ارائه دهندگان سرور خصوصی مجازی (VPS) در روسیه میزبانی می شوند، ارتباط برقرار می کنند. اکثر سرورهای ربات C2، که با میزبان قربانی در معرض خطر ارتباط برقرار می کنند، عمدتاً در ایالات متحده و هند هستند. تجزیه و تحلیل اتصالات خروجی از گره‌های T2 نشان می‌دهد که آدرس‌های IP مقصد در ایالات متحده، هند، مکزیک و ونزوئلا هستند. در کنار گره های C2 و T2، یک سرور BackConnect (BC) ربات های در معرض خطر را به پروکسی تبدیل می کند و آنها را قادر می سازد تا فعالیت های مخرب مختلف را ارائه دهند. این معماری شبکه پیچیده بر تلاش‌های QakBot برای سازماندهی عملیات خود در چندین مکان جغرافیایی تأکید می‌کند و توانایی آن را برای مدیریت و کنترل مؤثر سیستم‌های آلوده افزایش می‌دهد.

گره های سطح 2 C2، در زمینه تهدیدات سایبری و بدافزارها، به سطح متوسط زیرساخت فرماندهی و کنترل در یک معماری چند لایه اشاره دارند. گونه های بدافزار پیچیده مانند QakBot، Emotet و IcedID اغلب از این معماری استفاده می کنند. گره های سطح 2 C2 واسطه بین سرورهای اصلی فرمان و کنترل (Tier 1) و دستگاه ها یا ربات های در معرض خطر (نقاط پایانی) هستند.

هدف از گره های Tier 2 افزایش انعطاف پذیری و پنهان کاری شبکه ارتباطی بدافزار است. آنها به توزیع دستورات و سیگنال‌های کنترل از سرورهای مرکزی C2 به شبکه‌ای از گره‌های ردیف 2 کمک می‌کنند، که سپس این دستورالعمل‌ها را به دستگاه‌های در معرض خطر منفرد منتقل می‌کنند. این تنظیمات سلسله مراتبی، ردیابی فعالیت‌های مخرب به سرورهای اصلی C2 را برای تحلیلگران امنیتی سخت‌تر می‌کند، بنابراین شانس بدافزار برای فرار از شناسایی و حذف را افزایش می‌دهد.

گره های سطح 2 C2 اغلب با استفاده از تکنیک های مختلف، مانند الگوریتم های تولید دامنه یا شبکه های شار سریع، با دستگاه های در معرض خطر ارتباط برقرار می کنند که تلاش ها برای مسدود کردن یا خاموش کردن کانال های ارتباطی بدافزار را پیچیده تر می کند. عوامل تهدید از گره‌های Tier 2 C2 برای حفظ کنترل بر بات‌نت‌های خود و تسهیل اجرای عملیات مخرب استفاده می‌کنند و در عین حال خطرات مرتبط با ارتباط مستقیم بین سرور مرکزی و دستگاه‌های آلوده را به حداقل می‌رسانند.

سرورهای C2 مورد سوء استفاده قرار گرفتند

جدیدترین یافته‌های پرده‌برداری شده توسط تیم Cymru کاهش قابل‌توجهی را در تعداد C2‌های موجود که با لایه T2 درگیر هستند، نشان می‌دهد. اکنون با تنها هشت مورد باقی مانده، این کاهش تا حدی به اقدامات آزمایشگاه‌های بلک لوتوس برای مسیریابی تهی زیرساخت‌های سطح بالاتر در ماه مه 2023 نسبت داده می‌شود. این شرکت کاهش قابل توجهی در ترافیک C2 هندی و ناپدید شدن تقریباً C2های ایالات متحده در حدود ژوئن مشاهده کرد. 2، که آنها را با مسیریابی تهی لایه T2 مرتبط می کنند. علاوه بر 15 سرور C2، 6 سرور C2 از قبل فعال قبل از ژوئن و دو سرور C2 تازه فعال شده در ماه ژوئن فعالیت خود را در طول ماه جولای، حتی پس از توقف فعالیت های ارسال هرزنامه، نشان دادند.

بررسی دقیق بیشتر داده‌های NetFlow یک الگوی تکرارشونده را نشان می‌دهد که در آن افزایش اتصالات خروجی T2 اغلب به دنبال افزایش در اتصالات C2 ربات ورودی است. علاوه بر این، افزایش در اتصالات T2 خروجی اغلب با کاهش فعالیت ربات C2 همزمان است. تیم Cymru تاکید کرد که با به کارگیری قربانیان به عنوان زیرساخت C2 با ارتباطات T2، QakBot بار دوگانه ای را به کاربران تحمیل می کند، ابتدا از طریق مصالحه اولیه و سپس از طریق آسیب احتمالی به شهرت آنها هنگامی که میزبان آنها به طور عمومی به عنوان مخرب شناخته می شود. این شرکت تاکید کرد که با قطع ارتباط با سرورهای بالادست، قربانیان نمی توانند دستورالعمل های C2 را دریافت کنند، و به طور موثر از کاربران فعلی و آینده در برابر سازش محافظت می کند.

درباره QakBot

QakBot که با نام QBot نیز شناخته می‌شود، از حدود سال 2007 یک تروجان بانکی و بدافزار سرقت اطلاعات بدنام بوده است. این بدافزار عمدتاً سیستم‌های عامل ویندوز را هدف قرار می‌دهد و برای سرقت اطلاعات مالی حساس از رایانه‌های آلوده طراحی شده است، مانند اعتبار بانکی، جزئیات کارت اعتباری، و اطلاعات شخصی. QakBot معمولاً از طریق پیوست های ایمیل مخرب، پیوندها یا وب سایت های آلوده ارائه می شود. پس از نصب بر روی یک سیستم، می‌تواند با سرورهای فرمان و کنترل (C2) متصل شود و هکرها را قادر می‌سازد تا دستگاه آلوده را کنترل کرده و داده‌های دزدیده شده را از راه دور استخراج کنند. QakBot در طول سال ها سطح بالایی از پیچیدگی را نشان داده است و به طور مداوم تکنیک های خود را برای فرار از تشخیص و اقدامات امنیتی توسعه می دهد. همچنین می‌تواند از طریق اشتراک‌های شبکه پخش شود و از آسیب‌پذیری‌ها برای انتشار در یک شبکه سوء استفاده کند. به طور کلی، QakBot به دلیل توانایی آن در سرقت اطلاعات حساس و به طور بالقوه منجر به خسارات مالی، یک تهدید قابل توجه برای افراد و سازمان ها است.

اپراتورهای بدافزار QakBot با افزایش 15 سرور جدید C2، تهدید را تقویت می کنند اسکرین شات