QakBot Malware-operatører forsterker trusselen med 15 nye C2-servere
I en nylig utvikling har gruppen bak QakBot (også kjent som QBot) malware etablert et nytt nettverk av 15 kommando-og-kontroll (C2) servere innen utgangen av juni 2023. Denne observasjonen bygger på den pågående etterforskningen av skadelig programvare infrastruktur utført av Team Cymru. Bemerkelsesverdig nok følger denne utvidelsen tett etter en avsløring av Lumen Black Lotus Labs, som avslørte at en fjerdedel av C2-serverne forblir operative i bare en enkelt dag, og kaster lys over den dynamiske og unnvikende naturen til QakBots operasjoner.
QakBot viser tradisjonelt et mønster av lengre nedetid i sommermånedene, som vanligvis gjenoppstår i september. I inneværende år stoppet spammingen omtrent 22. juni 2023, ifølge nettsikkerhetsfirmaet. Hvorvidt QakBot-operatørene bruker denne nedetiden som en ferie eller bruker den til å foredle og oppdatere deres infrastruktur og verktøy gjenstår å se.
Innholdsfortegnelse
Utplassering av utsøkt infrastruktur
I likhet med arkitekturene observert i Emotet og I cedID malware, har Command-and-Control (C2)-nettverket til QakBot en flerlagsstruktur. Innenfor denne ordningen kommuniserer C2-nodene med høyere nivå Tier 2 (T2) C2-noder som er vert for virtuelle private servere (VPS)-leverandører i Russland. De fleste bot C2-servere, som kommuniserer med de kompromitterte offervertene, er primært i USA og India. Analyserer de utgående forbindelsene fra T2-noder avslører at destinasjons-IP-adressene er i USA, India, Mexico og Venezuela. Ved siden av C2- og T2-nodene forvandler en BackConnect-server (BC) de kompromitterte robotene til proxyer, slik at de kan betjene ulike ondsinnede aktiviteter. Denne intrikate nettverksarkitekturen understreker QakBots innsats for å orkestrere sin virksomhet på tvers av flere geografiske steder, og forbedrer dens evne til å effektivt administrere og kontrollere infiserte systemer.
Tier 2 C2-noder, i sammenheng med cybertrusler og skadelig programvare, refererer til det mellomliggende nivået av kommando-og-kontroll-infrastruktur i en flerlagsarkitektur. Sofistikerte skadevarestammer som QakBot, Emotet og IcedID bruker ofte denne arkitekturen. Tier 2 C2-noder er mellomledd mellom hovedkommando-og-kontrollserverne (Tier 1) og de kompromitterte enhetene eller botene (endepunktene).
Hensikten med Tier 2-noder er å forbedre motstandskraften og snikingen til skadevarens kommunikasjonsnettverk. De hjelper til med å distribuere kommandoer og styresignaler fra de sentrale C2-serverne til et nettverk av Tier 2-noder, som deretter videresender disse instruksjonene til de individuelle kompromitterte enhetene. Dette hierarkiske oppsettet gjør det vanskeligere for sikkerhetsanalytikere å spore de ondsinnede aktivitetene tilbake til de viktigste C2-serverne, og øker dermed sjansene for skadelig programvare for å unngå oppdagelse og fjerning.
Tier 2 C2-noder kommuniserer ofte med de kompromitterte enhetene ved hjelp av ulike teknikker, for eksempel domenegenereringsalgoritmer eller raske fluksnettverk, noe som ytterligere kompliserer forsøket på å blokkere eller slå av skadevarens kommunikasjonskanaler. Trusselaktører bruker Tier 2 C2-noder for å opprettholde kontroll over botnettene sine og lette utførelse av ondsinnede operasjoner samtidig som de minimerer risikoen forbundet med direkte kommunikasjon mellom den sentrale serveren og de infiserte enhetene.
C2-servere utnyttet
De siste funnene avduket av Team Cymru fremhever en bemerkelsesverdig nedgang i antallet eksisterende C2-er som engasjerer seg i T2-laget. Nå med bare åtte igjen, tilskrives denne nedgangen delvis Black Lotus Labs' handlinger med å nullrute infrastrukturen på høyere nivå i mai 2023. Selskapet observerte en betydelig reduksjon i trafikken fra indiske C2-er og nesten forsvinningen av amerikanske C2-er rundt juni 2, som de forbinder med null-ruting av T2-laget. I tillegg til de 15 C2-serverne, viste seks eksisterende C2-servere som var aktive før juni og to nylig aktiverte C2-servere i juni fortsatt aktivitet gjennom hele juli, selv etter at spamming-aktiviteter ble avsluttet.
Ytterligere gransking av NetFlow-data viser et tilbakevendende mønster der økte utgående T2-forbindelser ofte følger topper i innkommende bot C2-forbindelser. I tillegg faller stigninger i utgående T2-forbindelser ofte sammen med fall i bot C2-aktivitet. Team Cymru fremhevet at ved å bruke ofre som C2-infrastruktur med T2-kommunikasjon, legger QakBot en dobbel byrde på brukerne, først gjennom det innledende kompromisset og deretter gjennom den potensielle skaden på omdømmet deres når verten deres er offentlig anerkjent som ondsinnet. Selskapet understreket at ved å bryte kommunikasjonen med oppstrømsservere, kan ofre ikke motta C2-instruksjoner, noe som effektivt beskytter nåværende og fremtidige brukere mot kompromisser.
Om QakBot
QakBot, også kjent som QBot, har vært en beryktet banktrojaner og informasjonsstjelende skadelig programvare siden rundt 2007. Den retter seg først og fremst mot Windows-operativsystemer og er designet for å stjele sensitiv finansiell informasjon fra infiserte datamaskiner, som banklegitimasjon, kredittkortdetaljer og personlig informasjon. QakBot kommer vanligvis gjennom ondsinnede e-postvedlegg, lenker eller infiserte nettsteder. Når den er installert på et system, kan den kobles til kommando-og-kontroll-servere (C2), slik at hackere kan kontrollere den infiserte maskinen og eksfiltrere stjålne data eksternt. QakBot har demonstrert et høyt nivå av sofistikering gjennom årene, og har kontinuerlig utviklet sine teknikker for å unngå deteksjon og sikkerhetstiltak. Det kan også spre seg gjennom nettverksandeler og utnytte sårbarheter for å spre seg i et nettverk. Totalt sett er QakBot en betydelig trussel mot enkeltpersoner og organisasjoner på grunn av dens evne til å stjele sensitiv informasjon og potensielt føre til økonomiske tap.
QakBot Malware-operatører forsterker trusselen med 15 nye C2-servere skjermbilder
