QakBot 맬웨어 운영자, 15개의 새로운 C2 서버 급증으로 위협 증폭
최근 개발에서 QakBot(QBot이라고도 함) 멀웨어 배후 그룹은 2023년 6월 말까지 15개의 명령 및 제어(C2) 서버로 구성된 새로운 네트워크를 구축했습니다. 이 관찰은 멀웨어의 지속적인 조사를 기반으로 합니다. Team Cymru가 수행하는 인프라. 놀랍게도 이 확장은 Lumen Black Lotus Labs가 C2 서버의 4분의 1이 단 하루 동안 작동 상태를 유지하며 QakBot 운영의 역동적이고 포착하기 어려운 특성을 밝힌 폭로 이후에 밀접하게 이어졌습니다.
QakBot은 전통적으로 여름철에 연장된 다운타임 패턴을 보이며 일반적으로 9월에 다시 나타납니다. 사이버 보안 회사에 따르면 올해 스팸 작업은 대략 2023년 6월 22일에 중단되었습니다. 그러나 QakBot 운영자가 이 가동 중지 시간을 휴가로 사용할지 아니면 인프라와 도구를 개선하고 업데이트하는 데 사용할지는 두고 봐야 합니다.
목차
절묘한 인프라 배포
Emotet 및 IcedID 악성코드에서 관찰된 아키텍처와 유사하게 QakBot의 명령 및 제어(C2) 네트워크는 다계층 구조를 나타냅니다. 이 배열 내에서 C2 노드는 러시아의 VPS(가상 사설 서버) 제공업체에서 호스팅되는 상위 계층 2(T2) C2 노드와 통신합니다. 손상된 피해자 호스트와 통신하는 대부분의 봇 C2 서버는 주로 미국과 인도에 있습니다. T2 노드의 아웃바운드 연결을 분석하면 대상 IP 주소가 미국, 인도, 멕시코 및 베네수엘라에 있음을 알 수 있습니다. C2 및 T2 노드와 함께 BackConnect(BC) 서버는 손상된 봇을 프록시로 변환하여 다양한 악성 활동을 제공할 수 있도록 합니다. 이 복잡한 네트워크 아키텍처는 QakBot이 여러 지리적 위치에서 작업을 조율하여 감염된 시스템을 효과적으로 관리하고 제어하는 능력을 향상시키려는 노력을 강조합니다.
사이버 위협 및 맬웨어와 관련하여 계층 2 C2 노드는 다계층 아키텍처 내의 중간 수준의 명령 및 제어 인프라를 나타냅니다. QakBot, Emotet 및 IcedID와 같은 정교한 맬웨어 변종은 종종 이 아키텍처를 사용합니다. 계층 2 C2 노드는 주요 명령 및 제어 서버(계층 1)와 손상된 장치 또는 봇(엔드포인트) 사이의 중개자입니다.
Tier 2 노드의 목적은 악성코드 통신 네트워크의 탄력성과 스텔스를 강화하는 것입니다. 중앙 C2 서버에서 계층 2 노드 네트워크로 명령 및 제어 신호를 배포한 다음 이러한 명령을 손상된 개별 장치에 전달합니다. 이러한 계층적 설정은 보안 분석가가 악의적인 활동을 기본 C2 서버로 역추적하는 것을 더 어렵게 하므로 맬웨어가 탐지 및 제압을 회피할 가능성을 높입니다.
계층 2 C2 노드는 종종 도메인 생성 알고리즘 또는 패스트 플럭스 네트워크와 같은 다양한 기술을 사용하여 손상된 장치와 통신하므로 맬웨어의 통신 채널을 차단하거나 해제하려는 노력이 더욱 복잡해집니다. 위협 행위자는 Tier 2 C2 노드를 사용하여 중앙 서버와 감염된 장치 간의 직접 통신과 관련된 위험을 최소화하면서 봇넷에 대한 제어를 유지하고 악의적인 작업 실행을 용이하게 합니다.
악용된 C2 서버
Team Cymru가 공개한 가장 최근 연구 결과는 T2 계층과 관련된 기존 C2의 수가 눈에 띄게 감소했음을 강조합니다. 현재 8개만 남아 있는 이 감소는 부분적으로 Black Lotus Labs가 2023년 5월에 상위 계층 인프라를 널 라우팅한 조치에 기인합니다. 이 회사는 인도 C2의 트래픽이 크게 감소하고 6월경 미국 C2가 거의 사라지는 것을 관찰했습니다. 2, T2 계층을 null 라우팅하는 것과 연결합니다. 15대의 C2 서버 외에도 6월 이전 활성화된 기존 C2 서버 6대와 6월에 새로 활성화된 2대의 C2 서버는 스팸 활동이 중단된 후에도 7월 내내 활동을 지속했습니다.
NetFlow 데이터를 면밀히 조사하면 인바운드 봇 C2 연결의 급증에 따라 아웃바운드 T2 연결이 높아지는 반복적인 패턴이 나타납니다. 또한 아웃바운드 T2 연결의 급증은 봇 C2 활동의 감소와 자주 일치합니다. Team Cymru는 피해자를 T2 통신이 있는 C2 인프라로 사용함으로써 QakBot이 사용자에게 이중 부담을 부과한다고 강조했습니다. 첫 번째는 초기 손상을 통해 다음에는 호스트가 공개적으로 악의적인 것으로 인식될 때 평판에 잠재적인 피해를 입힐 수 있다는 것입니다. 회사는 업스트림 서버와의 통신을 차단함으로써 피해자가 C2 명령을 받을 수 없으므로 현재 및 미래의 사용자를 손상으로부터 효과적으로 보호할 수 있다고 강조했습니다.
QakBot 소개
QBot으로도 알려진 QakBot은 2007년경부터 악명 높은 은행 트로이 목마 및 정보 도용 멀웨어였습니다. 주로 Windows 운영 체제를 대상으로 하며 감염된 컴퓨터에서 은행 자격 증명, 신용 카드 세부 정보, 개인 정보. QakBot은 일반적으로 악성 이메일 첨부파일, 링크 또는 감염된 웹사이트를 통해 유입됩니다. 시스템에 설치되면 명령 및 제어(C2) 서버에 연결하여 해커가 감염된 시스템을 제어하고 훔친 데이터를 원격으로 유출할 수 있습니다. QakBot은 탐지 및 보안 조치를 회피하기 위해 기술을 지속적으로 발전시키면서 수년 동안 높은 수준의 정교함을 보여주었습니다. 또한 네트워크 공유를 통해 확산되고 취약성을 악용하여 네트워크 내에서 전파될 수 있습니다. 전반적으로 QakBot은 민감한 정보를 도용하고 잠재적으로 재정적 손실을 초래할 수 있기 때문에 개인과 조직에 상당한 위협이 됩니다.
QakBot 맬웨어 운영자, 15개의 새로운 C2 서버 급증으로 위협 증폭 스크린샷
