QakBot ļaunprātīgas programmatūras operatori pastiprina draudus, palielinoties par 15 jauniem C2 serveriem
Nesenā attīstībā grupa, kas ir aiz QakBot (pazīstama arī kā QBot) ļaunprātīgas programmatūras, ir izveidojusi jaunu 15 komandu un kontroles (C2) serveru tīklu līdz 2023. gada jūnija beigām. Šis novērojums balstās uz notiekošo ļaunprātīgās programmatūras izmeklēšanu. infrastruktūra, ko vada Team Cymru. Jāatzīmē, ka šī paplašināšanās cieši seko pēc Lumen Black Lotus Labs atklājuma, kas atklāja, ka ceturtā daļa C2 serveru darbojas tikai vienu dienu, atklājot QakBot darbību dinamisko un nenotveramo raksturu.
QakBot vasaras mēnešos tradicionāli tiek novērots pagarināts dīkstāves periods, kas parasti tiek atjaunots septembrī. Saskaņā ar kiberdrošības uzņēmuma sniegto informāciju pašreizējā gadā tā surogātpasta darbības tika apturētas aptuveni 2023. gada 22. jūnijā. Tomēr vēl ir redzams, vai QakBot operatori izmanto šo dīkstāvi kā atvaļinājumu vai izmanto to infrastruktūras un rīku uzlabošanai un atjaunināšanai.
Satura rādītājs
Izsmalcinātas infrastruktūras izvietošana
Līdzīgi arhitektūrām, kas novērotas Emotet un I cedID ļaunprogrammatūrā, QakBot Command-and-Control (C2) tīklam ir daudzpakāpju struktūra. Šīs vienošanās ietvaros C2 mezgli sazinās ar augstāka līmeņa 2. līmeņa (T2) C2 mezgliem, kas tiek mitināti virtuālā privātā servera (VPS) nodrošinātājos Krievijā. Lielākā daļa robotu C2 serveru, kas sazinās ar apdraudētajiem upuru saimniekiem, galvenokārt atrodas Amerikas Savienotajās Valstīs un Indijā. Analizējot izejošos savienojumus no T2 mezgliem, atklājas, ka galamērķa IP adreses atrodas Amerikas Savienotajās Valstīs, Indijā, Meksikā un Venecuēlā. Līdzās C2 un T2 mezgliem BackConnect (BC) serveris pārveido apdraudētos robotus par starpniekserveriem, ļaujot tiem apkalpot dažādas ļaunprātīgas darbības. Šī sarežģītā tīkla arhitektūra uzsver QakBot centienus organizēt savas darbības vairākās ģeogrāfiskās vietās, uzlabojot tā spēju efektīvi pārvaldīt un kontrolēt inficētās sistēmas.
2. līmeņa C2 mezgli kiberdraudu un ļaunprātīgas programmatūras kontekstā attiecas uz komandu un kontroles infrastruktūras vidējo līmeni daudzpakāpju arhitektūrā. Izsmalcināti ļaunprātīgas programmatūras celmi, piemēram, QakBot, Emotet un IcedID, bieži izmanto šo arhitektūru. 2. līmeņa C2 mezgli ir starpnieki starp galvenajiem komandu un vadības serveriem (1. līmenis) un apdraudētajām ierīcēm vai robotprogrammatūrām (galapunktiem).
2. līmeņa mezglu mērķis ir uzlabot ļaunprātīgas programmatūras sakaru tīkla noturību un slepenību. Tie palīdz izplatīt komandas un vadības signālus no centrālajiem C2 serveriem uz 2. līmeņa mezglu tīklu, kas pēc tam pārsūta šīs instrukcijas uz atsevišķām apdraudētajām ierīcēm. Šī hierarhiskā iestatīšana apgrūtina drošības analītiķiem ļaunprātīgu darbību izsekošanu līdz galvenajiem C2 serveriem, tādējādi palielinot ļaunprātīgas programmatūras iespējas izvairīties no atklāšanas un noņemšanas.
2. līmeņa C2 mezgli bieži sazinās ar apdraudētajām ierīcēm, izmantojot dažādas metodes, piemēram, domēna ģenerēšanas algoritmus vai ātrās plūsmas tīklus, kas vēl vairāk apgrūtina centienus bloķēt vai izslēgt ļaunprātīgas programmatūras sakaru kanālus. Apdraudējumi izmanto 2. līmeņa C2 mezglus, lai saglabātu kontroli pār saviem robottīkliem un atvieglotu ļaunprātīgu darbību veikšanu, vienlaikus samazinot riskus, kas saistīti ar tiešu saziņu starp centrālo serveri un inficētajām ierīcēm.
Izmantoti C2 serveri
Jaunākie Team Cymru atklājumi liecina par ievērojamu esošo C2 skaita samazināšanos, kas mijiedarbojas ar T2 slāni. Tagad, kad ir palikuši tikai astoņi, šis samazinājums daļēji ir saistīts ar Black Lotus Labs darbībām, kas 2023. gada maijā noteica nulles maršrutēšanu augstāka līmeņa infrastruktūrā. Uzņēmums novēroja būtisku Indijas C2 satiksmes samazināšanos un ASV C2 gandrīz izzušanu aptuveni jūnijā. 2, ko tie saista ar nulles maršrutēšanu T2 slānī. Papildus 15 C2 serveriem seši jau esošie C2 serveri, kas bija aktīvi pirms jūnija, un divi nesen aktivizēti C2 serveri jūnijā rādīja nepārtrauktu darbību visu jūliju, pat pēc surogātpasta sūtīšanas darbību pārtraukšanas.
Turpmāka NetFlow datu pārbaude parāda atkārtotu modeli, kad pastiprināti izejošie T2 savienojumi bieži vien seko ienākošajiem robotprogrammatūras C2 savienojumiem. Turklāt izejošo T2 savienojumu pieaugums bieži vien sakrīt ar robota C2 aktivitātes kritumiem. Team Cymru uzsvēra, ka, nodarbinot upurus kā C2 infrastruktūru ar T2 komunikāciju, QakBot uzliek lietotājiem dubultu slogu, vispirms veicot sākotnējo kompromisu un pēc tam ar iespējamo kaitējumu viņu reputācijai, kad viņu resursdators tiek publiski atzīts par ļaunprātīgu. Uzņēmums uzsvēra, ka, pārtraucot sakarus ar augšupējiem serveriem, upuri nevar saņemt C2 norādījumus, efektīvi aizsargājot pašreizējos un nākamos lietotājus pret kompromisiem.
Par QakBot
QakBot, kas pazīstams arī kā QBot, ir bijis bēdīgi slavens banku Trojas zirgs un informācijas zagšanas ļaunprātīga programmatūra kopš aptuveni 2007. gada. Tas galvenokārt ir paredzēts Windows operētājsistēmām un ir paredzēts, lai no inficētiem datoriem nozagtu sensitīvu finanšu informāciju, piemēram, bankas akreditācijas datus, kredītkaršu informāciju un personas dati. QakBot parasti nāk caur ļaunprātīgiem e-pasta pielikumiem, saitēm vai inficētām vietnēm. Kad tas ir instalēts sistēmā, tas var izveidot savienojumu ar komandu un kontroles (C2) serveriem, ļaujot hakeriem kontrolēt inficēto iekārtu un attālināti izfiltrēt nozagtos datus. Gadu gaitā QakBot ir demonstrējis augstu izsmalcinātības līmeni, pastāvīgi attīstot savas metodes, lai izvairītos no atklāšanas un drošības pasākumiem. Tas var izplatīties arī, izmantojot tīkla koplietojumu, un izmantot ievainojamības, lai izplatītos tīklā. Kopumā QakBot ir nozīmīgs drauds personām un organizācijām, jo tas spēj nozagt sensitīvu informāciju un, iespējams, radīt finansiālus zaudējumus.
QakBot ļaunprātīgas programmatūras operatori pastiprina draudus, palielinoties par 15 jauniem C2 serveriem ekrānuzņēmumi
