מפעילי תוכנות זדוניות של QakBot מגבירים את האיום עם גל של 15 שרתי C2 חדשים
בפיתוח אחרון, הקבוצה שמאחורי התוכנה הזדונית QakBot (הידועה גם בשם QBot) הקימה רשת חדשה של 15 שרתי שליטה ושליטה (C2) עד סוף יוני 2023. תצפית זו מתבססת על החקירה המתמשכת של התוכנה הזדונית. תשתית שבוצעה על ידי Team Cymru. למרבה הפלא, הרחבה זו עוקבת מקרוב אחרי חשיפה של Lumen Black Lotus Labs, שחשפה כי רבע משרתי ה-C2 שלה נשארים פעילים למשך יום אחד בלבד, ושופך אור על האופי הדינמי והחמקמק של הפעילות של QakBot .
QakBot מציג באופן מסורתי דפוס של זמן השבתה ממושך במהלך חודשי הקיץ, בדרך כלל מחדש בספטמבר. בשנה הנוכחית, פעולות הספאם שלה נעצרו בערך ב-22 ביוני 2023, לפי חברת אבטחת הסייבר. עם זאת, נותר לראות אם מפעילי QakBot משתמשים בזמן ההשבתה הזה כחופשה או מנצלים אותו לשיפור ועדכון התשתית והכלים שלהם.
תוכן העניינים
פריסת תשתית מעולה
בדומה לארכיטקטורות שנצפו ב-Emotet ו-I cedID תוכנות זדוניות, רשת Command-and-Control (C2) של QakBot מציגה מבנה רב-שכבתי. במסגרת הסדר זה, צמתי C2 מתקשרים עם צמתים ברמה גבוהה יותר Tier 2 (T2) C2 המתארחים אצל ספקי שרתים פרטיים וירטואליים (VPS) ברוסיה. רוב שרתי הבוט C2, המתקשרים עם המארחים של הקורבן שנפגעו, נמצאים בעיקר בארצות הברית ובהודו. ניתוח החיבורים היוצאים מצמתי T2 מגלה שכתובות ה-IP של היעד הן בארצות הברית, הודו, מקסיקו וונצואלה. לצד צמתים C2 ו-T2, שרת BackConnect (BC) הופך את הבוטים שנפגעו ל-proxies, ומאפשר להם לשרת פעילויות זדוניות שונות. ארכיטקטורת רשת מורכבת זו מדגישה את המאמצים של QakBot לארגן את פעילותה על פני מספר מיקומים גיאוגרפיים, מה שמשפר את יכולתה לנהל ולשלוט ביעילות במערכות נגועות.
צמתי Tier 2 C2, בהקשר של איומי סייבר ותוכנות זדוניות, מתייחסים לרמת הביניים של תשתית פיקוד ובקרה בתוך ארכיטקטורה רב-שכבתית. זני תוכנות זדוניות מתוחכמים כמו QakBot, Emotet ו-IcedID משתמשים לעתים קרובות בארכיטקטורה זו. צמתי Tier 2 C2 הם מתווכים בין שרתי הפיקוד והבקרה הראשיים (Tier 1) לבין ההתקנים או הבוטים שנפגעו (נקודות קצה).
מטרת הצמתים Tier 2 היא לשפר את החוסן והחמקנות של רשת התקשורת של התוכנה הזדונית. הם עוזרים להפיץ פקודות ואותות בקרה משרתי C2 המרכזיים לרשת של צמתים Tier 2, אשר לאחר מכן מעבירות את ההוראות הללו למכשירים שנפגעו. הגדרה היררכית זו מקשה על מנתחי אבטחה להתחקות אחר הפעילויות הזדוניות אל שרתי ה-C2 הראשיים, ובכך להגדיל את סיכויי התוכנה הזדונית להתחמק מזיהוי והסרה.
צמתי Tier 2 C2 מתקשרים לעתים קרובות עם המכשירים שנפגעו באמצעות טכניקות שונות, כגון אלגוריתמים ליצירת תחום או רשתות זרימה מהירה, מה שמקשה עוד יותר על המאמצים לחסום או לכבות את ערוצי התקשורת של התוכנה הזדונית. גורמי איומים משתמשים בצמתי Tier 2 C2 כדי לשמור על שליטה על הבוטנטים שלהם ולהקל על ביצוע פעולות זדוניות תוך מזעור הסיכונים הקשורים לתקשורת ישירה בין השרת המרכזי למכשירים הנגועים.
שרתי C2 מנוצלים
הממצאים האחרונים שנחשפו על ידי Team Cymru מדגישים ירידה ראויה לציון בספירת ה-C2s הקיימים שעוסקים בשכבת T2. כעת, כשנותרו רק שמונה, הירידה הזו מיוחסת בחלקה לפעולות של Black Lotus Labs של ניתוב אפס של התשתית ברמה הגבוהה יותר במאי 2023. החברה ראתה ירידה משמעותית בתעבורה ממטוסי C2 ההודיים ואת היעלמותם כמעט של מטוסי C2 בארה"ב בסביבות יוני 2, שאותו הם מקשרים עם ניתוב אפס של שכבת T2. בנוסף ל-15 שרתי C2, שישה שרתי C2 שהיו קיימים לפני יוני ושני שרתי C2 שהופעלו לאחרונה ביוני הציגו פעילות מתמשכת לאורך חודש יולי, גם לאחר הפסקת פעילויות הספאם.
בדיקה נוספת של נתוני NetFlow מציגה דפוס חוזר שבו חיבורי T2 יוצאים משופרים עוקבים לעתים קרובות אחר עליות בחיבורי בוט C2 נכנסים. בנוסף, עליות בחיבורי T2 יוצאים חופפים לעתים קרובות לירידה בפעילות הבוט C2. Team Cymru הדגיש כי על ידי שימוש בקורבנות כתשתית C2 עם תקשורת T2, QakBot מטיל עומס כפול על המשתמשים, תחילה דרך הפשרה הראשונית ולאחר מכן דרך הפגיעה הפוטנציאלית במוניטין שלהם כאשר המארח שלהם מוכר בפומבי כזדוני. החברה הדגישה כי על ידי ניתוק התקשורת עם שרתים במעלה הזרם, הקורבנות אינם יכולים לקבל הוראות C2, מה שמגן ביעילות על המשתמשים הנוכחיים והעתידיים מפני פשרה.
על QakBot
QakBot, הידוע גם בשם QBot, הוא טרויאני בנקאי ידוע לשמצה ותוכנות זדוניות גונבות מידע מאז 2007. הוא מכוון בעיקר למערכות הפעלה של Windows ונועד לגנוב מידע פיננסי רגיש ממחשבים נגועים, כגון אישורי בנק, פרטי כרטיס אשראי, ו מידע אישי. QakBot מגיע בדרך כלל דרך קבצים מצורפים לדוא"ל זדוניים, קישורים או אתרים נגועים. לאחר ההתקנה על מערכת, הוא יכול להתחבר לשרתי פיקוד ושליטה (C2), מה שמאפשר להאקרים לשלוט במכונה הנגועה ולחלץ נתונים גנובים מרחוק. QakBot הוכיחה רמה גבוהה של תחכום לאורך השנים, ופיתחה כל הזמן את הטכניקות שלה כדי להתחמק מאמצעי זיהוי ואבטחה. זה יכול גם להתפשט באמצעות שיתופי רשת ולנצל פגיעויות כדי להתפשט בתוך רשת. בסך הכל, QakBot מהווה איום משמעותי על אנשים וארגונים בשל יכולתו לגנוב מידע רגיש ועלול להוביל להפסדים כספיים.
מפעילי תוכנות זדוניות של QakBot מגבירים את האיום עם גל של 15 שרתי C2 חדשים צילומי מסך
