„QakBot“ kenkėjiškų programų operatoriai padidina grėsmę padidinę 15 naujų C2 serverių
Neseniai plėtodama QakBot (dar vadinamą QBot) kenkėjišką programinę įrangą, iki 2023 m. birželio mėn. pabaigos sukūrė naują 15 komandų ir valdymo (C2) serverių tinklą. Šis stebėjimas pagrįstas vykstančiu kenkėjiškos programos tyrimu. infrastruktūrą, kurią vykdo Team Cymru. Pažymėtina, kad šis išplėtimas buvo artimas po to, kai „Lumen Black Lotus Labs“ atskleidė, kad ketvirtadalis jos C2 serverių veikia tik vieną dieną, o tai atskleidžia dinamišką ir sunkiai suprantamą „QakBot “ operacijų pobūdį.
„QakBot“ vasaros mėnesiais tradiciškai pailgėja prastovos, paprastai atsinaujina rugsėjį. Anot kibernetinio saugumo įmonės, šiais metais jos šiukšlių siuntimo operacijos buvo sustabdytos maždaug 2023 m. birželio 22 d. Tačiau ar „QakBot“ operatoriai šią prastovą naudoja kaip atostogas, ar naudoja ją infrastruktūros ir įrankių tobulinimui ir atnaujinimui, dar reikia pamatyti.
Turinys
Išskirtinės infrastruktūros diegimas
Panašiai kaip Emotet ir I cedID kenkėjiškose programose pastebėtos architektūros, QakBot komandų ir valdymo (C2) tinklas turi daugiapakopę struktūrą. Pagal šį susitarimą C2 mazgai bendrauja su aukštesnio lygio 2 lygio (T2) C2 mazgais, esančiais virtualiojo privačiojo serverio (VPS) teikėjuose Rusijoje. Dauguma „bot C2“ serverių, kurie bendrauja su pažeistais aukomis, pirmiausia yra JAV ir Indijoje. Analizuojant išeinančius ryšius iš T2 mazgų, paaiškėja, kad paskirties IP adresai yra Jungtinėse Amerikos Valstijose, Indijoje, Meksikoje ir Venesueloje. Be C2 ir T2 mazgų, BackConnect (BC) serveris paverčia pažeistus robotus į tarpinius serverius, leidžiančius jiems aptarnauti įvairią kenkėjišką veiklą. Ši sudėtinga tinklo architektūra pabrėžia „QakBot“ pastangas organizuoti savo veiklą keliose geografinėse vietose, o tai pagerina jo gebėjimą efektyviai valdyti ir kontroliuoti užkrėstas sistemas.
2 pakopos C2 mazgai kibernetinių grėsmių ir kenkėjiškų programų kontekste reiškia tarpinį komandų ir valdymo infrastruktūros lygį kelių pakopų architektūroje. Sudėtingose kenkėjiškose programose, tokiose kaip QakBot, Emotet ir IcedID, dažnai naudojama ši architektūra. 2 pakopos C2 mazgai yra tarpininkai tarp pagrindinių komandų ir valdymo serverių (1 pakopa) ir pažeistų įrenginių arba robotų (galinių taškų).
2 pakopos mazgų paskirtis – padidinti kenkėjiškų programų ryšio tinklo atsparumą ir slaptumą. Jie padeda paskirstyti komandas ir valdymo signalus iš centrinių C2 serverių į 2 pakopos mazgų tinklą, kuris vėliau perduoda šias instrukcijas į atskirus pažeistus įrenginius. Dėl šios hierarchinės sąrankos saugumo analitikams sunkiau atsekti kenkėjišką veiklą iki pagrindinių C2 serverių, todėl padidėja tikimybė, kad kenkėjiška programa išvengs aptikimo ir pašalinimo.
2 pakopos C2 mazgai dažnai bendrauja su pažeistais įrenginiais naudodami įvairias technologijas, tokias kaip domenų generavimo algoritmai ar greito srauto tinklai, o tai dar labiau apsunkina pastangas blokuoti arba išjungti kenkėjiškos programos ryšio kanalus. Grėsmių subjektai naudoja 2 pakopos C2 mazgus, kad išlaikytų savo robotų tinklų kontrolę ir palengvintų kenkėjiškų operacijų vykdymą, kartu sumažindami riziką, susijusią su tiesioginiu ryšiu tarp centrinio serverio ir užkrėstų įrenginių.
Išnaudoti C2 serveriai
Naujausios „Team Cymru“ išvados rodo, kad pastebimai sumažėjo esamų C2, kurie sąveikauja su T2 sluoksniu. Dabar, kai liko tik aštuoni, šis sumažėjimas iš dalies susijęs su „Black Lotus Labs“ veiksmais, kai 2023 m. gegužės mėn. buvo nukreiptas į nulinį aukštesnės pakopos infrastruktūros maršrutą. Bendrovė pastebėjo, kad labai sumažėjo srautas iš Indijos C2 ir beveik išnyko JAV C2 maždaug birželio mėn. 2, kurį jie susieja su nuliniu T2 sluoksnio nukreipimu. Be 15 C2 serverių, šeši iš anksto veikiantys C2 serveriai, kurie buvo aktyvūs iki birželio mėn., ir du naujai suaktyvinti C2 serveriai birželį rodė nuolatinį aktyvumą visą liepą, net ir pasibaigus nepageidaujamų laiškų siuntimo veiklai.
Tolesnis „NetFlow“ duomenų tikrinimas rodo pasikartojantį modelį, kai sustiprėję išeinantys T2 ryšiai dažnai atsiranda dėl gaunamų robotų C2 ryšių šuolio. Be to, išeinančių T2 jungčių padidėjimas dažnai sutampa su roboto C2 aktyvumo kritimu. „Cymru“ komanda pabrėžė, kad naudodamas aukas kaip C2 infrastruktūrą su T2 ryšiu, „QakBot“ vartotojams užkrauna dvigubą naštą: pirmiausia dėl pradinio kompromiso, o vėliau dėl galimos žalos jų reputacijai, kai jų šeimininkas viešai pripažįstamas kenkėjišku. Bendrovė pabrėžė, kad nutraukus ryšį su aukštesnio srauto serveriais, aukos negali gauti C2 nurodymų, o tai veiksmingai apsaugo esamus ir būsimus vartotojus nuo kompromisų.
Apie QakBot
„QakBot“, taip pat žinomas kaip „QBot“, yra liūdnai pagarsėjęs bankininkystės Trojos arklys ir informaciją vagianti kenkėjiška programa maždaug nuo 2007 m. Ji pirmiausia skirta „Windows“ operacinėms sistemoms ir skirta pavogti slaptą finansinę informaciją iš užkrėstų kompiuterių, pvz., banko kredencialus, kredito kortelių duomenis ir Asmeniniai duomenys. „QakBot“ paprastai ateina per kenkėjiškus el. pašto priedus, nuorodas arba užkrėstas svetaines. Įdiegus sistemoje, jis gali prisijungti prie komandų ir valdymo (C2) serverių, todėl įsilaužėliai gali valdyti užkrėstą įrenginį ir nuotoliniu būdu išfiltruoti pavogtus duomenis. Bėgant metams „QakBot“ demonstravo aukštą sudėtingumo lygį, nuolat tobulindama savo metodus, kad išvengtų aptikimo ir apsaugos priemonių. Jis taip pat gali plisti per tinklo dalis ir išnaudoti pažeidžiamumą, kad galėtų plisti tinkle. Apskritai „QakBot“ kelia didelę grėsmę asmenims ir organizacijoms, nes gali pavogti neskelbtiną informaciją ir gali sukelti finansinių nuostolių.
„QakBot“ kenkėjiškų programų operatoriai padidina grėsmę padidinę 15 naujų C2 serverių ekrano kopijos
