A QakBot rosszindulatú programok üzemeltetői 15 új C2-szerverrel növelik a fenyegetést
A QakBot (más néven QBot) kártevő mögött álló csoport egy közelmúltbeli fejlesztés során 2023 júniusának végéig 15 parancs- és vezérlőszerverből álló új hálózatot hozott létre. Ez a megfigyelés a rosszindulatú program folyamatban lévő vizsgálatára épül. infrastruktúrát a Team Cymru vezette. Figyelemre méltó, hogy ez a bővítés szorosan követi a Lumen Black Lotus Labs felfedését, amely felfedte, hogy C2-szervereinek negyede csak egyetlen napig működik, rávilágítva a QakBot működésének dinamikus és megfoghatatlan természetére.
A QakBot hagyományosan a nyári hónapokban hosszabb állásidőt mutat, jellemzően szeptemberben jelenik meg újra. A kiberbiztonsági cég szerint ebben az évben a spamküldési műveletei körülbelül 2023. június 22-én leálltak. Azt azonban, hogy a QakBot üzemeltetői ezt az állásidőt vakációnak használják-e, vagy infrastruktúrájuk és eszközeik finomítására és frissítésére használják, még nem derül ki.
Tartalomjegyzék
Kiváló infrastruktúra kiépítése
Az Emotet és I cedID kártevőknél megfigyelt architektúrákhoz hasonlóan a QakBot Command-and-Control (C2) hálózata is többszintű felépítést mutat. Ezen az elrendezésen belül a C2-csomópontok magasabb szintű Tier 2 (T2) C2-csomópontokkal kommunikálnak, amelyeket virtuális magánkiszolgáló (VPS) szolgáltatók tárolnak Oroszországban. A legtöbb bot C2-szerver, amely kommunikál a feltört áldozat gazdagépeivel, elsősorban az Egyesült Államokban és Indiában található. A T2 csomópontokból kimenő kapcsolatokat elemezve kiderül, hogy a cél IP-címek az Egyesült Államokban, Indiában, Mexikóban és Venezuelában találhatók. A C2 és T2 csomópontok mellett egy BackConnect (BC) szerver proxykká alakítja át a feltört robotokat, lehetővé téve számukra, hogy különféle rosszindulatú tevékenységeket szolgáljanak ki. Ez a bonyolult hálózati architektúra alátámasztja a QakBot azon erőfeszítéseit, hogy működését több földrajzi helyen is összehangolja, javítva a fertőzött rendszerek hatékony kezelését és ellenőrzését.
A 2. szintű C2 csomópontok a kiberfenyegetésekkel és a rosszindulatú szoftverekkel összefüggésben a többszintű architektúrán belüli parancs- és irányítási infrastruktúra középső szintjét jelentik. A kifinomult rosszindulatú programok, például a QakBot, az Emotet és az IcedID gyakran alkalmazzák ezt az architektúrát. A 2. szintű C2 csomópontok közvetítők a fő parancs- és vezérlőkiszolgálók (1. szint) és a veszélyeztetett eszközök vagy robotok (végpontok) között.
A Tier 2 csomópontok célja, hogy fokozzák a kártevő kommunikációs hálózatának rugalmasságát és rejtettségét. Segítik a parancsok és vezérlőjelek elosztását a központi C2 szerverekről a 2. szintű csomópontok hálózatába, amelyek aztán továbbítják ezeket az utasításokat az egyes veszélyeztetett eszközökhöz. Ez a hierarchikus beállítás megnehezíti a biztonsági elemzők számára a rosszindulatú tevékenységek visszakövetését a fő C2-szerverekre, így növelve a kártevők esélyét, hogy elkerüljék az észlelést és az eltávolítást.
A 2. szintű C2 csomópontok gyakran különféle technikákkal kommunikálnak a feltört eszközökkel, például tartománygeneráló algoritmusokkal vagy gyors fluxusú hálózatokkal, ami tovább bonyolítja a kártevő kommunikációs csatornáinak blokkolására vagy kikapcsolására irányuló erőfeszítéseket. A fenyegetés szereplői Tier 2 C2 csomópontokat használnak, hogy fenntartsák az irányítást botnetjeik felett, és megkönnyítsék a rosszindulatú műveletek végrehajtását, miközben minimalizálják a központi szerver és a fertőzött eszközök közötti közvetlen kommunikációval kapcsolatos kockázatokat.
C2 szerverek kihasználva
A Team Cymru legfrissebb eredményei rávilágítanak a T2 réteghez kapcsolódó meglévő C2-ek számának figyelemre méltó csökkenésére. Most, hogy már csak nyolc maradt, ez a csökkenés részben a Black Lotus Labs azon intézkedéseinek tudható be, amelyek 2023 májusában nullázták a magasabb szintű infrastruktúrát. A vállalat az indiai C2-es forgalom jelentős csökkenését és az amerikai C2-esek majdnem eltűnését figyelte meg június körül. 2, amelyet a T2 réteg null-routingjához társítanak. A 15 C2-szerveren kívül hat, már június előtt aktív C2-szerver és két júniusban újonnan aktivált C2-szerver folyamatos aktivitást mutatott egész júliusban, még a spam-tevékenységek megszűnése után is.
A NetFlow adatok további vizsgálata ismétlődő mintát mutat, ahol a megnövekedett kimenő T2 kapcsolatok gyakran követik a bejövő bot C2 kapcsolatok kiugrását. Ezenkívül a kimenő T2 kapcsolatok túlfeszültsége gyakran egybeesik a bot C2 aktivitásának csökkenésével. A Team Cymru kiemelte, hogy az áldozatok C2 infrastruktúraként történő alkalmazásával a T2 kommunikációval a QakBot kettős terhet ró a felhasználókra, először a kezdeti kompromisszum révén, majd a jó hírnevük esetleges sérelmével, amikor gazdájukat nyilvánosan rosszindulatúnak ismerik el. A vállalat hangsúlyozta, hogy az upstream szerverekkel való kommunikáció megszakításával az áldozatok nem kaphatnak C2 utasításokat, ami hatékonyan megvédi a jelenlegi és jövőbeli felhasználókat a kompromisszumoktól.
A QakBotról
A QakBot, más néven QBot, 2007 óta egy hírhedt banki trójai és információlopó rosszindulatú program. Elsősorban Windows operációs rendszereket céloz meg, és arra tervezték, hogy érzékeny pénzügyi információkat lopjon el fertőzött számítógépekről, például banki hitelesítő adatokat, hitelkártyaadatokat és személyes adatok. A QakBot általában rosszindulatú e-mail mellékleteken, hivatkozásokon vagy fertőzött webhelyeken keresztül érkezik. Miután telepítették a rendszerre, képes kapcsolódni a parancs-és vezérlő (C2) szerverekhez, lehetővé téve a hackerek számára a fertőzött gép vezérlését és az ellopott adatok távoli kiszűrését. A QakBot az évek során magas szintű kifinomultságról tett tanúbizonyságot, és folyamatosan fejleszti technikáit az észlelés és a biztonsági intézkedések elkerülése érdekében. Hálózati megosztásokon keresztül is terjedhet, és a sebezhetőségeket kihasználva terjedhet a hálózaton belül. Összességében a QakBot jelentős veszélyt jelent az egyénekre és a szervezetekre, mivel képes érzékeny információkat ellopni, és potenciálisan pénzügyi veszteségekhez vezethet.
A QakBot rosszindulatú programok üzemeltetői 15 új C2-szerverrel növelik a fenyegetést képernyőkép
