Pengendali Perisian Hasad QakBot Meningkatkan Ancaman dengan Lonjakan 15 Pelayan C2 Baharu
Dalam perkembangan baru-baru ini, kumpulan di sebalik perisian hasad QakBot (juga dikenali sebagai QBot) telah menubuhkan rangkaian baharu 15 pelayan arahan dan kawalan (C2) menjelang akhir Jun 2023. Pemerhatian ini dibina berdasarkan penyiasatan berterusan terhadap perisian hasad itu. infrastruktur yang dikendalikan oleh Team Cymru. Hebatnya, pengembangan ini mengikuti rapat selepas pendedahan oleh Lumen Black Lotus Labs, yang mendedahkan bahawa satu perempat daripada pelayan C2nya kekal beroperasi hanya untuk satu hari, memberi penerangan tentang sifat dinamik dan sukar difahami operasi QakBot .
QakBot secara tradisinya mempamerkan corak masa henti yang dilanjutkan semasa bulan-bulan musim panas, biasanya muncul semula pada bulan September. Pada tahun semasa, operasi spamnya dihentikan kira-kira pada 22 Jun 2023, menurut firma keselamatan siber itu. Walau bagaimanapun, sama ada pengendali QakBot menggunakan masa henti ini sebagai percutian atau menggunakannya untuk menapis dan mengemas kini infrastruktur dan alatan mereka masih belum dapat dilihat.
Isi kandungan
Menggunakan Infrastruktur yang Indah
Sama seperti seni bina yang diperhatikan dalam Emotet dan I cedID malware, rangkaian Command-and-Control (C2) QakBot mempamerkan struktur berbilang peringkat. Dalam susunan ini, nod C2 berkomunikasi dengan nod Tahap 2 (T2) C2 peringkat lebih tinggi yang dihoskan pada pembekal pelayan peribadi maya (VPS) di Rusia. Kebanyakan pelayan bot C2, yang berkomunikasi dengan hos mangsa yang terjejas, terutamanya di Amerika Syarikat dan India. Menganalisis sambungan keluar dari nod T2 mendedahkan bahawa alamat IP destinasi berada di Amerika Syarikat, India, Mexico dan Venezuela. Di samping nod C2 dan T2, pelayan BackConnect (BC) mengubah bot yang terjejas menjadi proksi, membolehkan mereka menjalankan pelbagai aktiviti berniat jahat. Seni bina rangkaian yang rumit ini menggariskan usaha QakBot untuk mengatur operasinya merentasi pelbagai lokasi geografi, meningkatkan keupayaannya untuk mengurus dan mengawal sistem yang dijangkiti dengan berkesan.
Nod Tahap 2 C2, dalam konteks ancaman siber dan perisian hasad, merujuk kepada tahap pertengahan infrastruktur arahan dan kawalan dalam seni bina berbilang peringkat. Jenis perisian hasad yang canggih seperti QakBot, Emotet dan IcedID sering menggunakan seni bina ini. Nod Tahap 2 C2 ialah perantara antara pelayan arahan dan kawalan utama (Tier 1) dan peranti atau bot yang terjejas (titik akhir).
Tujuan nod Tahap 2 adalah untuk meningkatkan daya tahan dan kesunyian rangkaian komunikasi perisian hasad. Mereka membantu mengedarkan arahan dan isyarat kawalan daripada pelayan C2 pusat kepada rangkaian nod Tahap 2, yang kemudiannya menyampaikan arahan ini kepada peranti individu yang terjejas. Persediaan hierarki ini menyukarkan penganalisis keselamatan untuk mengesan aktiviti berniat jahat kembali ke pelayan C2 utama, sekali gus meningkatkan peluang perisian hasad untuk mengelak pengesanan dan alih keluar.
Nod Tahap 2 C2 sering berkomunikasi dengan peranti yang terjejas menggunakan pelbagai teknik, seperti algoritma penjanaan domain atau rangkaian fluks pantas, yang merumitkan lagi usaha untuk menyekat atau mematikan saluran komunikasi perisian hasad. Aktor ancaman menggunakan nod Tahap 2 C2 untuk mengekalkan kawalan ke atas botnet mereka dan memudahkan pelaksanaan operasi berniat jahat sambil meminimumkan risiko yang berkaitan dengan komunikasi langsung antara pelayan pusat dan peranti yang dijangkiti.
Pelayan C2 Dieksploitasi
Penemuan terbaharu yang didedahkan oleh Team Cymru menyerlahkan penurunan ketara dalam kiraan C2 sedia ada yang terlibat dengan lapisan T2. Kini dengan hanya tinggal lapan, penurunan ini sebahagiannya disebabkan oleh tindakan Black Lotus Labs yang menghalakan infrastruktur peringkat lebih tinggi secara batal pada Mei 2023. Syarikat itu mendapati pengurangan ketara dalam trafik daripada C2 India dan hampir kehilangan C2 AS sekitar Jun 2, yang mereka kaitkan dengan penghalaan nol lapisan T2. Sebagai tambahan kepada 15 pelayan C2, enam pelayan C2 sedia ada aktif sebelum Jun dan dua pelayan C2 yang baru diaktifkan pada bulan Jun memaparkan aktiviti berterusan sepanjang Julai, walaupun selepas pemberhentian aktiviti spam.
Pemeriksaan lanjut terhadap data NetFlow memaparkan corak berulang di mana sambungan T2 keluar yang meningkat sering mengikuti lonjakan dalam sambungan bot C2 masuk. Selain itu, lonjakan dalam sambungan T2 keluar selalunya bertepatan dengan penurunan dalam aktiviti bot C2. Team Cymru menyerlahkan bahawa dengan menggunakan mangsa sebagai infrastruktur C2 dengan komunikasi T2, QakBot mengenakan beban ganda kepada pengguna, pertama melalui kompromi awal dan kemudian melalui potensi bahaya kepada reputasi mereka apabila hos mereka diiktiraf secara terbuka sebagai berniat jahat. Syarikat itu menekankan bahawa dengan memutuskan komunikasi dengan pelayan huluan, mangsa tidak boleh menerima arahan C2, dengan berkesan melindungi pengguna semasa dan masa depan daripada kompromi.
Mengenai QakBot
QakBot, juga dikenali sebagai QBot, telah menjadi trojan perbankan terkenal dan perisian hasad mencuri maklumat sejak sekitar tahun 2007. Ia menyasarkan sistem pengendalian Windows dan direka bentuk untuk mencuri maklumat kewangan sensitif daripada komputer yang dijangkiti, seperti bukti kelayakan perbankan, butiran kad kredit dan data peribadi. QakBot biasanya datang melalui lampiran e-mel berniat jahat, pautan atau tapak web yang dijangkiti. Setelah dipasang pada sistem, ia boleh berhubung dengan pelayan arahan dan kawalan (C2), membolehkan penggodam mengawal mesin yang dijangkiti dan mengeluarkan data yang dicuri dari jauh. QakBot telah menunjukkan tahap kecanggihan yang tinggi selama ini, sentiasa mengembangkan tekniknya untuk mengelakkan pengesanan dan langkah keselamatan. Ia juga boleh merebak melalui perkongsian rangkaian dan mengeksploitasi kelemahan untuk disebarkan dalam rangkaian. Secara keseluruhannya, QakBot merupakan ancaman besar kepada individu dan organisasi kerana keupayaannya untuk mencuri maklumat sensitif dan berpotensi membawa kepada kerugian kewangan.
Pengendali Perisian Hasad QakBot Meningkatkan Ancaman dengan Lonjakan 15 Pelayan C2 Baharu Tangkapan skrin
