QakBot मैलवेयर ऑपरेटर्स ने 15 नए C2 सर्वरों की वृद्धि के साथ ख़तरा बढ़ा दिया है
हाल के एक विकास में, QakBot (जिसे QBot के नाम से भी जाना जाता है) मैलवेयर के पीछे के समूह ने जून 2023 के अंत तक 15 कमांड-एंड-कंट्रोल (C2) सर्वर का एक नया नेटवर्क स्थापित किया है। यह अवलोकन मैलवेयर की चल रही जांच पर आधारित है। टीम सिमरू द्वारा संचालित बुनियादी ढाँचा। उल्लेखनीय रूप से, यह विस्तार लुमेन ब्लैक लोटस लैब्स के एक रहस्योद्घाटन के बाद हुआ है, जिसमें खुलासा किया गया था कि इसके C2 सर्वरों का एक चौथाई सिर्फ एक दिन के लिए चालू रहता है, जो QakBot के संचालन की गतिशील और मायावी प्रकृति पर प्रकाश डालता है।
QakBot पारंपरिक रूप से गर्मी के महीनों के दौरान विस्तारित डाउनटाइम का एक पैटर्न प्रदर्शित करता है, जो आमतौर पर सितंबर में फिर से सामने आता है। साइबर सुरक्षा फर्म के अनुसार, चालू वर्ष में, इसका स्पैमिंग संचालन लगभग 22 जून, 2023 को बंद हो गया। हालाँकि, क्या QakBot ऑपरेटर इस डाउनटाइम को छुट्टी के रूप में उपयोग करते हैं या अपने बुनियादी ढांचे और उपकरणों को परिष्कृत और अद्यतन करने के लिए उपयोग करते हैं, यह देखा जाना बाकी है।
विषयसूची
उत्तम बुनियादी ढांचे की तैनाती
Emotet और I cedID मैलवेयर में देखे गए आर्किटेक्चर के समान, QakBot का कमांड-एंड-कंट्रोल (C2) नेटवर्क एक बहु-स्तरीय संरचना प्रदर्शित करता है। इस व्यवस्था के अंतर्गत, C2 नोड्स रूस में वर्चुअल प्राइवेट सर्वर (VPS) प्रदाताओं पर होस्ट किए गए उच्च-स्तरीय टियर 2 (T2) C2 नोड्स के साथ संचार करते हैं। अधिकांश बॉट C2 सर्वर, जो समझौता किए गए पीड़ित होस्ट के साथ संचार करते हैं, मुख्य रूप से संयुक्त राज्य अमेरिका और भारत में हैं। टी2 नोड्स से आउटबाउंड कनेक्शन के विश्लेषण से पता चलता है कि गंतव्य आईपी पते संयुक्त राज्य अमेरिका, भारत, मैक्सिको और वेनेजुएला में हैं। C2 और T2 नोड्स के साथ, एक BackConnect (BC) सर्वर समझौता किए गए बॉट्स को प्रॉक्सी में बदल देता है, जिससे वे विभिन्न दुर्भावनापूर्ण गतिविधियों को अंजाम देने में सक्षम हो जाते हैं। यह जटिल नेटवर्क आर्किटेक्चर QakBot के कई भौगोलिक स्थानों पर अपने संचालन को व्यवस्थित करने के प्रयासों को रेखांकित करता है, जिससे संक्रमित प्रणालियों को प्रभावी ढंग से प्रबंधित और नियंत्रित करने की क्षमता बढ़ जाती है।
साइबर खतरों और मैलवेयर के संदर्भ में टियर 2 सी2 नोड्स, बहु-स्तरीय वास्तुकला के भीतर कमांड-एंड-कंट्रोल बुनियादी ढांचे के मध्यवर्ती स्तर को संदर्भित करते हैं। QakBot, Emotet और IcedID जैसे परिष्कृत मैलवेयर स्ट्रेन अक्सर इस आर्किटेक्चर का उपयोग करते हैं। टियर 2 सी2 नोड्स मुख्य कमांड-एंड-कंट्रोल सर्वर (टियर 1) और समझौता किए गए डिवाइस या बॉट (एंडपॉइंट) के बीच मध्यस्थ हैं।
टियर 2 नोड्स का उद्देश्य मैलवेयर के संचार नेटवर्क की लचीलापन और गोपनीयता को बढ़ाना है। वे केंद्रीय C2 सर्वर से टियर 2 नोड्स के नेटवर्क तक कमांड और नियंत्रण सिग्नल वितरित करने में मदद करते हैं, जो फिर इन निर्देशों को अलग-अलग समझौता किए गए उपकरणों पर रिले करते हैं। यह पदानुक्रमित सेटअप सुरक्षा विश्लेषकों के लिए मुख्य C2 सर्वर पर दुर्भावनापूर्ण गतिविधियों का पता लगाना कठिन बना देता है, जिससे मैलवेयर का पता लगाने और उसे हटाने से बचने की संभावना बढ़ जाती है।
टियर 2 सी2 नोड्स अक्सर डोमेन जेनरेशन एल्गोरिदम या फास्ट-फ्लक्स नेटवर्क जैसी विभिन्न तकनीकों का उपयोग करके समझौता किए गए उपकरणों के साथ संचार करते हैं, जो मैलवेयर के संचार चैनलों को ब्लॉक या बंद करने के प्रयासों को और जटिल बना देता है। ख़तरा अभिनेता अपने बॉटनेट पर नियंत्रण बनाए रखने और केंद्रीय सर्वर और संक्रमित उपकरणों के बीच सीधे संचार से जुड़े जोखिमों को कम करते हुए दुर्भावनापूर्ण संचालन के निष्पादन की सुविधा के लिए टियर 2 सी 2 नोड्स का उपयोग करते हैं।
C2 सर्वर का शोषण
टीम सिमरू द्वारा जारी किए गए सबसे हालिया निष्कर्ष टी2 परत से जुड़े मौजूदा सी2 की संख्या में उल्लेखनीय गिरावट को उजागर करते हैं। अब केवल आठ शेष होने पर, इस कमी को आंशिक रूप से मई 2023 में उच्च स्तरीय बुनियादी ढांचे को खत्म करने के ब्लैक लोटस लैब्स के कार्यों के लिए जिम्मेदार ठहराया गया है। कंपनी ने भारतीय सी2 से ट्रैफिक में काफी कमी देखी और जून के आसपास यूएस सी2 लगभग गायब हो गया। 2, जिसे वे T2 परत को शून्य-रूटिंग के साथ जोड़ते हैं। 15 सी2 सर्वरों के अलावा, जून से पहले सक्रिय छह पहले से मौजूद सी2 सर्वर और जून में दो नए सक्रिय सी2 सर्वरों ने स्पैमिंग गतिविधियों की समाप्ति के बाद भी पूरे जुलाई में गतिविधि जारी रखी।
नेटफ्लो डेटा की आगे की जांच से एक आवर्ती पैटर्न प्रदर्शित होता है जहां बढ़े हुए आउटबाउंड टी2 कनेक्शन अक्सर इनबाउंड बॉट सी2 कनेक्शन में स्पाइक्स का अनुसरण करते हैं। इसके अतिरिक्त, आउटबाउंड टी2 कनेक्शन में उछाल अक्सर बॉट सी2 गतिविधि में गिरावट के साथ मेल खाता है। टीम सिमरू ने इस बात पर प्रकाश डाला कि पीड़ितों को T2 संचार के साथ C2 बुनियादी ढांचे के रूप में नियोजित करके, QakBot उपयोगकर्ताओं पर दोहरा बोझ डालता है, पहले प्रारंभिक समझौते के माध्यम से और फिर जब उनके होस्ट को सार्वजनिक रूप से दुर्भावनापूर्ण के रूप में मान्यता दी जाती है तो उनकी प्रतिष्ठा को संभावित नुकसान होता है। कंपनी ने इस बात पर जोर दिया कि अपस्ट्रीम सर्वर के साथ संचार विच्छेद करने से, पीड़ितों को C2 निर्देश प्राप्त नहीं हो सकते हैं, जिससे वर्तमान और भविष्य के उपयोगकर्ताओं को किसी समझौते से प्रभावी ढंग से बचाया जा सकता है।
QakBot के बारे में
QakBot, जिसे QBot के नाम से भी जाना जाता है, 2007 के बाद से एक कुख्यात बैंकिंग ट्रोजन और सूचना-चोरी करने वाला मैलवेयर रहा है। यह मुख्य रूप से विंडोज ऑपरेटिंग सिस्टम को लक्षित करता है और इसे संक्रमित कंप्यूटर से बैंकिंग क्रेडेंशियल, क्रेडिट कार्ड विवरण और संवेदनशील वित्तीय जानकारी चुराने के लिए डिज़ाइन किया गया है। व्यक्तिगत डेटा। QakBot आमतौर पर दुर्भावनापूर्ण ईमेल अटैचमेंट, लिंक या संक्रमित वेबसाइटों के माध्यम से आता है। एक बार सिस्टम पर स्थापित होने के बाद, यह कमांड-एंड-कंट्रोल (सी2) सर्वर से जुड़ सकता है, जिससे हैकर्स संक्रमित मशीन को नियंत्रित कर सकते हैं और चोरी किए गए डेटा को दूर से बाहर निकाल सकते हैं। QakBot ने पिछले कुछ वर्षों में उच्च स्तर की परिष्कार का प्रदर्शन किया है, पहचान और सुरक्षा उपायों से बचने के लिए अपनी तकनीकों को लगातार विकसित किया है। यह नेटवर्क शेयरों के माध्यम से भी फैल सकता है और नेटवर्क के भीतर फैलने के लिए कमजोरियों का फायदा उठा सकता है। कुल मिलाकर, QakBot संवेदनशील जानकारी चुराने और संभावित रूप से वित्तीय नुकसान पहुंचाने की क्षमता के कारण व्यक्तियों और संगठनों के लिए एक महत्वपूर्ण खतरा है।
QakBot मैलवेयर ऑपरेटर्स ने 15 नए C2 सर्वरों की वृद्धि के साथ ख़तरा बढ़ा दिया है स्क्रीनशॉट
