QakBot-haittaohjelmaoperaattorit lisäävät uhkaa 15 uuden C2-palvelimen nousulla
Äskettäin tapahtuneen QakBot-haittaohjelman (tunnetaan myös nimellä QBot) takana oleva ryhmä on perustanut uuden 15 komento- ja ohjauspalvelimen (C2) verkoston kesäkuun 2023 loppuun mennessä. Tämä havainto perustuu jatkuvaan haittaohjelman tutkimukseen. Team Cymrun johtama infrastruktuuri. On huomattava, että tämä laajennus seuraa tarkasti Lumen Black Lotus Labsin paljastusta, joka paljasti, että neljäsosa sen C2-palvelimista pysyy toiminnassa vain yhden päivän, mikä valaisee QakBotin toiminnan dynaamista ja vaikeaselkoista luonnetta.
QakBotissa on perinteisesti pidennetty seisokkeja kesäkuukausina, tyypillisesti uusiutuen syyskuussa. Kuluvana vuonna sen roskapostitoiminta pysähtyi noin 22.6.2023 kyberturvayrityksen mukaan. Nähtäväksi jää kuitenkin, käyttävätkö QakBot-operaattorit tätä seisokkiaikaa lomana vai käyttävätkö ne infrastruktuurinsa ja työkalujensa jalostukseen ja päivittämiseen.
Sisällysluettelo
Hienon infrastruktuurin käyttöönotto
Samoin kuin Emotet- ja I cedID -haittaohjelmissa havaitut arkkitehtuurit, QakBotin Command-and-Control (C2) -verkossa on monikerroksinen rakenne. Tässä järjestelyssä C2-solmut kommunikoivat korkeamman tason Tier 2 (T2) C2-solmujen kanssa, joita isännöidään virtuaalisen yksityisen palvelimen (VPS) tarjoajat Venäjällä. Useimmat bot C2 -palvelimet, jotka kommunikoivat vaarantuneiden uhrien isäntien kanssa, ovat pääasiassa Yhdysvalloissa ja Intiassa. T2-solmuista lähtevien yhteyksien analysointi paljastaa, että kohde-IP-osoitteet ovat Yhdysvalloissa, Intiassa, Meksikossa ja Venezuelassa. C2- ja T2-solmujen rinnalla BackConnect (BC) -palvelin muuttaa vaarantuneet robotit välityspalvelimiksi, jolloin ne voivat palvella erilaisia haitallisia toimintoja. Tämä monimutkainen verkkoarkkitehtuuri korostaa QakBotin pyrkimyksiä organisoida toimintansa useissa maantieteellisissä paikoissa, mikä parantaa sen kykyä hallita ja hallita tehokkaasti tartunnan saaneita järjestelmiä.
Tason 2 C2-solmut kyberuhkien ja haittaohjelmien yhteydessä viittaavat monitasoisen arkkitehtuurin komento- ja hallintainfrastruktuurin keskitasoon. Kehittyneet haittaohjelmakannat, kuten QakBot, Emotet ja IcedID, käyttävät usein tätä arkkitehtuuria. Tason 2 C2-solmut ovat välittäjiä tärkeimpien komento- ja ohjauspalvelinten (Tier 1) ja vaarantuneiden laitteiden tai robottien (päätepisteiden) välillä.
Tier 2 -solmujen tarkoitus on parantaa haittaohjelman tietoliikenneverkon joustavuutta ja varkautta. Ne auttavat jakamaan komentoja ja ohjaussignaaleja keskuspalvelimista Tier 2 -solmujen verkkoon, joka sitten välittää nämä ohjeet yksittäisille vaarantuneille laitteille. Tämä hierarkkinen kokoonpano vaikeuttaa tietoturva-analyytikot jäljittää haitalliset toiminnot takaisin pää C2-palvelimiin, mikä lisää haittaohjelmien mahdollisuuksia välttää havaitseminen ja poistaminen.
Tier 2 C2 -solmut kommunikoivat usein vaarantuneiden laitteiden kanssa käyttämällä erilaisia tekniikoita, kuten verkkotunnuksen generointialgoritmeja tai nopean virran verkkoja, mikä vaikeuttaa entisestään pyrkimyksiä estää tai sammuttaa haittaohjelman viestintäkanavia. Uhkatoimijat käyttävät Tier 2 C2 -solmuja ylläpitääkseen robottiverkkojensa hallintaa ja helpottaakseen haitallisten toimintojen suorittamista samalla kun minimoivat keskuspalvelimen ja tartunnan saaneiden laitteiden väliseen suoraan viestintään liittyvät riskit.
C2-palvelimia hyödynnetty
Team Cymrun tuoreimmat havainnot korostavat T2-kerroksen kanssa tekemisissä olevien C2-laitteiden määrän huomattavaa laskua. Nyt kun jäljellä on enää kahdeksan, tämä lasku johtuu osittain Black Lotus Labsin toimista nollareitittäessään korkeamman tason infrastruktuuria toukokuussa 2023. Yritys havaitsi Intian C2:n liikenteen vähentyneen huomattavasti ja Yhdysvaltain C2-koneiden lähes katoamisen kesäkuun tienoilla. 2, jonka ne yhdistävät T2-kerroksen nollareitittämiseen. 15 C2-palvelimen lisäksi kuusi olemassa olevaa C2-palvelinta, jotka olivat aktiivisia ennen kesäkuuta, ja kaksi äskettäin aktivoitua C2-palvelinta kesäkuussa, näyttivät jatkuvaa toimintaa koko heinäkuun ajan, jopa roskapostitoiminnan lopettamisen jälkeen.
NetFlow-tietojen tarkempi tarkastelu näyttää toistuvan kuvion, jossa lisääntyneet lähtevät T2-yhteydet seuraavat usein saapuvan botin C2-yhteyksien piikkejä. Lisäksi lähtevien T2-yhteyksien huiput osuvat usein samaan aikaan botin C2-toiminnan laskujen kanssa. Team Cymru korosti, että käyttämällä uhreja C2-infrastruktuurina T2-viestinnän kanssa, QakBot asettaa käyttäjille kaksinkertaisen taakan, ensin alkuperäisen kompromissin kautta ja sitten heidän maineelle mahdollisesti kohdistuvan haitan kautta, kun heidän isäntänsä tunnustetaan julkisesti haitalliseksi. Yhtiö korosti, että katkaisemalla viestinnän ylävirran palvelimien kanssa uhrit eivät voi saada C2-ohjeita, mikä suojaa nykyiset ja tulevat käyttäjät tehokkaasti kompromisseja vastaan.
Tietoja QakBotista
QakBot, joka tunnetaan myös nimellä QBot, on ollut pahamaineinen pankkitroijalainen ja tietoja varastava haittaohjelma noin vuodesta 2007 lähtien. Se kohdistuu ensisijaisesti Windows-käyttöjärjestelmiin ja on suunniteltu varastamaan arkaluontoisia taloustietoja tartunnan saaneilta tietokoneilta, kuten pankkitunnuksia, luottokorttitietoja ja henkilökohtaiset tiedot. QakBot tulee yleensä haitallisten sähköpostiliitteiden, linkkien tai tartunnan saaneiden verkkosivustojen kautta. Kun se on asennettu järjestelmään, se voi muodostaa yhteyden komento- ja ohjauspalvelimiin (C2), jolloin hakkerit voivat hallita tartunnan saaneita laitteita ja suodattaa varastettuja tietoja etänä. QakBot on osoittanut korkeatasoista kehittyneisyyttä vuosien ajan, ja se on jatkuvasti kehittänyt tekniikoitaan havaitsemisen ja turvatoimien välttämiseksi. Se voi myös levitä verkkoosuuksien kautta ja hyödyntää haavoittuvuuksia levittääkseen verkon sisällä. Kaiken kaikkiaan QakBot on merkittävä uhka yksilöille ja organisaatioille, koska se pystyy varastamaan arkaluonteisia tietoja ja mahdollisesti johtaa taloudellisiin tappioihin.
QakBot-haittaohjelmaoperaattorit lisäävät uhkaa 15 uuden C2-palvelimen nousulla kuvakaappausta
