Gli operatori di malware QakBot amplificano la minaccia con un aumento di 15 nuovi server C2
In uno sviluppo recente, il gruppo responsabile del malware QakBot (noto anche come QBot) ha stabilito una nuova rete di 15 server di comando e controllo (C2) entro la fine di giugno 2023. Questa osservazione si basa sull'indagine in corso sulla minaccia del malware infrastruttura condotta dal Team Cymru. Sorprendentemente, questa espansione segue da vicino una rivelazione di Lumen Black Lotus Labs, che ha rivelato che un quarto dei suoi server C2 rimane operativo solo per un giorno, facendo luce sulla natura dinamica e sfuggente delle operazioni di QakBot .
QakBot presenta tradizionalmente uno schema di tempi di inattività prolungati durante i mesi estivi, che in genere riaffiorano a settembre. Nell'anno in corso, le sue operazioni di spamming si sono interrotte approssimativamente il 22 giugno 2023, secondo la società di sicurezza informatica. Tuttavia, resta da vedere se gli operatori di QakBot utilizzino questo tempo di inattività come una vacanza o lo utilizzino per perfezionare e aggiornare la propria infrastruttura e i propri strumenti.
Sommario
Implementazione di un'infrastruttura squisita
Simile alle architetture osservate nel malware Emotet e I cedID , la rete Command-and-Control (C2) di QakBot mostra una struttura a più livelli. All'interno di questa disposizione, i nodi C2 comunicano con nodi C2 Tier 2 (T2) di livello superiore ospitati su provider di server privati virtuali (VPS) in Russia. La maggior parte dei server bot C2, che comunicano con gli host delle vittime compromesse, si trovano principalmente negli Stati Uniti e in India. L'analisi delle connessioni in uscita dai nodi T2 rivela che gli indirizzi IP di destinazione si trovano negli Stati Uniti, in India, in Messico e in Venezuela. Accanto ai nodi C2 e T2, un server BackConnect (BC) trasforma i bot compromessi in proxy, consentendo loro di servire varie attività dannose. Questa intricata architettura di rete sottolinea gli sforzi di QakBot per orchestrare le sue operazioni in più posizioni geografiche, migliorando la sua capacità di gestire e controllare efficacemente i sistemi infetti.
I nodi Tier 2 C2, nel contesto delle minacce informatiche e del malware, si riferiscono al livello intermedio dell'infrastruttura di comando e controllo all'interno di un'architettura a più livelli. Ceppi di malware sofisticati come QakBot, Emotet e IcedID utilizzano spesso questa architettura. I nodi C2 di livello 2 sono intermediari tra i principali server di comando e controllo (livello 1) e i dispositivi o i bot compromessi (endpoint).
Lo scopo dei nodi di livello 2 è migliorare la resilienza e la furtività della rete di comunicazione del malware. Aiutano a distribuire comandi e segnali di controllo dai server C2 centrali a una rete di nodi di livello 2, che poi trasmettono queste istruzioni ai singoli dispositivi compromessi. Questa configurazione gerarchica rende più difficile per gli analisti della sicurezza rintracciare le attività dannose fino ai server C2 principali, aumentando così le possibilità del malware di eludere il rilevamento e la rimozione.
I nodi di livello 2 C2 spesso comunicano con i dispositivi compromessi utilizzando varie tecniche, come algoritmi di generazione di domini o reti a flusso rapido, il che complica ulteriormente gli sforzi per bloccare o disattivare i canali di comunicazione del malware. Gli autori delle minacce utilizzano i nodi Tier 2 C2 per mantenere il controllo sulle proprie botnet e facilitare l'esecuzione di operazioni dannose, riducendo al minimo i rischi associati alla comunicazione diretta tra il server centrale e i dispositivi infetti.
Server C2 sfruttati
Le scoperte più recenti svelate dal Team Cymru evidenziano un notevole calo nel conteggio dei C2 esistenti che interagiscono con il livello T2. Ora, con solo otto rimanenti, questa diminuzione è in parte attribuita alle azioni di Black Lotus Labs di instradamento nullo dell'infrastruttura di livello superiore nel maggio 2023. La società ha osservato una sostanziale riduzione del traffico dai C2 indiani e la quasi scomparsa dei C2 statunitensi intorno a giugno 2, che associano al routing nullo del livello T2. Oltre ai 15 server C2, sei server C2 preesistenti attivi prima di giugno e due server C2 appena attivati a giugno hanno mostrato un'attività continua per tutto il mese di luglio, anche dopo la cessazione delle attività di spamming.
Un ulteriore esame dei dati NetFlow mostra uno schema ricorrente in cui le connessioni T2 in uscita intensificate spesso seguono picchi nelle connessioni bot C2 in entrata. Inoltre, i picchi nelle connessioni T2 in uscita spesso coincidono con cali nell'attività bot C2. Il team Cymru ha evidenziato che impiegando le vittime come infrastruttura C2 con comunicazione T2, QakBot impone un duplice onere agli utenti, prima attraverso la compromissione iniziale e poi attraverso il potenziale danno alla loro reputazione quando il loro host viene riconosciuto pubblicamente come dannoso. La società ha sottolineato che interrompendo le comunicazioni con i server a monte, le vittime non possono ricevere istruzioni C2, salvaguardando efficacemente gli utenti attuali e futuri dalla compromissione.
A proposito di QakBot
QakBot, noto anche come QBot, è un famigerato trojan bancario e malware per il furto di informazioni dal 2007 circa. Si rivolge principalmente ai sistemi operativi Windows ed è progettato per rubare informazioni finanziarie sensibili da computer infetti, come credenziali bancarie, dettagli della carta di credito e dati personali. QakBot di solito arriva attraverso allegati e-mail dannosi, collegamenti o siti Web infetti. Una volta installato su un sistema, può connettersi con i server di comando e controllo (C2), consentendo agli hacker di controllare la macchina infetta ed esfiltrare i dati rubati da remoto. QakBot ha dimostrato un alto livello di sofisticazione nel corso degli anni, evolvendo costantemente le sue tecniche per eludere il rilevamento e le misure di sicurezza. Può anche diffondersi attraverso condivisioni di rete e sfruttare le vulnerabilità per propagarsi all'interno di una rete. Nel complesso, QakBot rappresenta una minaccia significativa per individui e organizzazioni a causa della sua capacità di rubare informazioni sensibili e potenzialmente portare a perdite finanziarie.
Gli operatori di malware QakBot amplificano la minaccia con un aumento di 15 nuovi server C2 screenshot
