QakBot operateri zlonamjernog softvera povećavaju prijetnju porastom od 15 novih C2 poslužitelja
U nedavnom razvoju, grupa koja stoji iza zlonamjernog softvera QakBot (također poznata kao QBot) uspostavila je svježu mrežu od 15 poslužitelja za naredbu i kontrolu (C2) do kraja lipnja 2023. Ovo opažanje temelji se na tekućoj istrazi zlonamjernog softvera infrastrukture koju je proveo tim Cymru. Nevjerojatno, ovo proširenje slijedi nakon otkrića Lumen Black Lotus Labsa, koji je otkrio da četvrtina njegovih C2 poslužitelja ostaje operativna samo jedan dan, bacajući svjetlo na dinamičnu i nedostižnu prirodu QakBot operacija.
QakBot tradicionalno pokazuje obrazac produljenog zastoja tijekom ljetnih mjeseci, obično se ponovno pojavljuje u rujnu. U tekućoj godini, njegove operacije slanja neželjene pošte zaustavljene su otprilike 22. lipnja 2023., prema tvrtki za kibernetičku sigurnost. Međutim, hoće li QakBot operateri iskoristiti ovaj prekid rada kao odmor ili ga iskoristiti za usavršavanje i ažuriranje svoje infrastrukture i alata, ostaje za vidjeti.
Sadržaj
Postavljanje izvrsne infrastrukture
Slično arhitekturama uočenim u zlonamjernom softveru Emotet i I cedID , mreža Command-and-Control (C2) QakBot-a pokazuje višeslojnu strukturu. Unutar ovog dogovora, čvorovi C2 komuniciraju s čvorovima više razine Tier 2 (T2) C2 koji se nalaze na pružateljima virtualnih privatnih poslužitelja (VPS) u Rusiji. Većina bot C2 poslužitelja, koji komuniciraju s kompromitiranim hostovima žrtve, primarno je u Sjedinjenim Državama i Indiji. Analizom izlaznih veza s T2 čvorova otkriva se da su odredišne IP adrese u Sjedinjenim Državama, Indiji, Meksiku i Venezueli. Uz C2 i T2 čvorove, BackConnect (BC) poslužitelj transformira kompromitirane botove u proxyje, omogućujući im da služe raznim zlonamjernim aktivnostima. Ova zamršena mrežna arhitektura naglašava napore QakBota da orkestrira svoje operacije na više geografskih lokacija, poboljšavajući njegovu sposobnost učinkovitog upravljanja i kontrole zaraženih sustava.
Čvorovi razine 2 C2, u kontekstu kibernetičkih prijetnji i zlonamjernog softvera, odnose se na srednju razinu komandno-kontrolne infrastrukture unutar višeslojne arhitekture. Sofisticirane sorte zlonamjernog softvera kao što su QakBot, Emotet i IcedID često koriste ovu arhitekturu. C2 čvorovi razine 2 posrednici su između glavnih poslužitelja za naredbu i kontrolu (razina 1) i ugroženih uređaja ili robota (krajnje točke).
Svrha čvorova razine 2 je poboljšati otpornost i skrivenost komunikacijske mreže zlonamjernog softvera. Oni pomažu u distribuciji naredbi i kontrolnih signala sa središnjih C2 poslužitelja na mrežu Tier 2 čvorova, koji zatim prenose te upute na pojedinačne kompromitirane uređaje. Ova hijerarhijska postavka otežava sigurnosnim analitičarima praćenje zlonamjernih aktivnosti do glavnih C2 poslužitelja, čime se povećavaju šanse zlonamjernog softvera da izbjegne otkrivanje i uklanjanje.
Čvorovi razine 2 C2 često komuniciraju s kompromitiranim uređajima pomoću različitih tehnika, kao što su algoritmi za generiranje domene ili mreže brzog protoka, što dodatno komplicira napore da se blokiraju ili isključe komunikacijski kanali zlonamjernog softvera. Akteri prijetnji koriste Tier 2 C2 čvorove kako bi zadržali kontrolu nad svojim botnet mrežama i olakšali izvršavanje zlonamjernih operacija dok minimiziraju rizike povezane s izravnom komunikacijom između središnjeg poslužitelja i zaraženih uređaja.
C2 poslužitelji iskorišteni
Najnovija otkrića koja je otkrio Tim Cymru naglašavaju značajan pad u broju postojećih C2 koji se povezuju s T2 slojem. Sada sa samo osam preostalih, ovo smanjenje se djelomično pripisuje radnjama Black Lotus Labsa za nulto usmjeravanje infrastrukture više razine u svibnju 2023. Tvrtka je uočila znatno smanjenje prometa s indijskih C2 i gotovo nestanak američkih C2 oko lipnja 2, što povezuju s nultim usmjeravanjem sloja T2. Uz 15 C2 poslužitelja, šest već postojećih C2 poslužitelja aktivnih prije lipnja i dva novoaktivirana C2 poslužitelja u lipnju iskazivali su kontinuiranu aktivnost tijekom srpnja, čak i nakon prestanka neželjenih aktivnosti.
Daljnje ispitivanje NetFlow podataka pokazuje ponavljajući obrazac gdje pojačane izlazne T2 veze često slijede skokove u ulaznim bot C2 vezama. Osim toga, valovi u izlaznim T2 vezama često se podudaraju s padom aktivnosti bota C2. Tim Cymru istaknuo je da korištenjem žrtava kao C2 infrastrukture s T2 komunikacijom, QakBot nameće dvostruki teret korisnicima, prvo kroz početnu kompromitaciju, a zatim kroz potencijalnu štetu njihovoj reputaciji kada se njihov host javno prepozna kao zlonamjeran. Tvrtka je naglasila da prekidanjem komunikacije s uzvodnim poslužiteljima žrtve ne mogu primati C2 upute, učinkovito štiteći sadašnje i buduće korisnike od kompromitacije.
O QakBotu
QakBot, poznat i kao QBot, ozloglašeni je bankarski trojanac i zlonamjerni softver za krađu informacija od otprilike 2007. Prvenstveno cilja na operativne sustave Windows i dizajniran je za krađu osjetljivih financijskih podataka sa zaraženih računala, kao što su bankovne vjerodajnice, podaci o kreditnoj kartici i osobni podaci. QakBot obično dolazi putem zlonamjernih privitaka e-pošte, poveznica ili zaraženih web stranica. Jednom kada se instalira na sustav, može se povezati s poslužiteljima za naredbu i kontrolu (C2), omogućujući hakerima da kontroliraju zaraženi stroj i izvuku ukradene podatke na daljinu. QakBot je pokazao visoku razinu sofisticiranosti tijekom godina, neprestano razvijajući svoje tehnike za izbjegavanje detekcije i sigurnosnih mjera. Također se može širiti mrežnim dijeljenjima i iskorištavati ranjivosti za širenje unutar mreže. Općenito, QakBot predstavlja značajnu prijetnju pojedincima i organizacijama zbog svoje sposobnosti da ukrade osjetljive podatke i potencijalno dovede do financijskih gubitaka.
QakBot operateri zlonamjernog softvera povećavaju prijetnju porastom od 15 novih C2 poslužitelja Snimaka Zaslona
