QakBot मालवेयर अपरेटरहरूले 15 नयाँ C2 सर्भरहरूको वृद्धिको साथ खतरा बढाउँछन्
हालैको विकासमा, QakBot (QBot पनि भनिन्छ) मालवेयरको पछाडि रहेको समूहले जुन 2023 को अन्त्यसम्ममा 15 वटा कमाण्ड-एण्ड-कन्ट्रोल (C2) सर्भरहरूको नयाँ नेटवर्क स्थापना गरेको छ। यो अवलोकनले मालवेयरको चलिरहेको अनुसन्धानमा आधारित छ। टोली Cymru द्वारा संचालित पूर्वाधार। उल्लेखनीय रूपमा, यो विस्तार लुमेन ब्ल्याक लोटस ल्याब्स द्वारा एक खुलासा पछि नजिकबाट पछ्याउँछ, जसले खुलासा गर्यो कि यसको C2 सर्भर को एक चौथाई मात्र एक दिन को लागी संचालन रहन्छ, QakBot को संचालन को गतिशील र मायावी प्रकृति मा प्रकाश डाल्दै।
ककबोटले परम्परागत रूपमा ग्रीष्म महिनाहरूमा विस्तारित डाउनटाइमको ढाँचा प्रदर्शन गर्दछ, सामान्यतया सेप्टेम्बरमा पुन: सतह हुन्छ। चालू वर्षमा, यसको स्प्यामिङ कार्यहरू लगभग जुन २२, २०२३ मा रोकिएको थियो, साइबर सुरक्षा फर्मका अनुसार। यद्यपि, QakBot अपरेटरहरूले यो डाउनटाइमलाई छुट्टीको रूपमा प्रयोग गर्छन् वा तिनीहरूको पूर्वाधार र उपकरणहरू परिष्कृत र अद्यावधिक गर्न प्रयोग गर्छन् कि हेर्न बाँकी छ।
सामग्रीको तालिका
उत्कृष्ट पूर्वाधार निर्माण
Emotet र I cedID मालवेयरमा अवलोकन गरिएका आर्किटेक्चरहरू जस्तै, QakBot को कमाण्ड-एण्ड-कन्ट्रोल (C2) नेटवर्कले बहु-स्तरीय संरचना प्रदर्शन गर्दछ। यस व्यवस्था भित्र, C2 नोडहरूले रूसमा भर्चुअल निजी सर्भर (VPS) प्रदायकहरूमा होस्ट गरिएका उच्च-स्तर टियर 2 (T2) C2 नोडहरूसँग सञ्चार गर्छन्। धेरै जसो बोट C2 सर्भरहरू, जसले सम्झौता पीडित होस्टहरूसँग सञ्चार गर्दछ, मुख्य रूपमा संयुक्त राज्य र भारतमा छन्। T2 नोडहरूबाट आउटबाउन्ड जडानहरू विश्लेषण गर्दा गन्तव्य आईपी ठेगानाहरू संयुक्त राज्य अमेरिका, भारत, मेक्सिको र भेनेजुएलामा छन् भनेर बताउँछ। C2 र T2 नोडहरूको साथमा, ब्याककनेक्ट (BC) सर्भरले सम्झौता गरिएका बटहरूलाई प्रोक्सीहरूमा रूपान्तरण गर्दछ, तिनीहरूलाई विभिन्न दुर्भावनापूर्ण गतिविधिहरू सेवा गर्न सक्षम बनाउँछ। यो जटिल सञ्जाल वास्तुकलाले ककबोटको प्रभावकारी रूपमा संक्रमित प्रणालीहरू व्यवस्थापन र नियन्त्रण गर्ने क्षमतालाई बढाउँदै, धेरै भौगोलिक स्थानहरूमा यसको सञ्चालनहरू अर्केस्ट्रेट गर्ने प्रयासहरूलाई रेखांकित गर्दछ।
टायर 2 C2 नोडहरू, साइबर खतराहरू र मालवेयरको सन्दर्भमा, बहु-स्तरीय वास्तुकला भित्र आदेश-र-नियन्त्रण पूर्वाधारको मध्यवर्ती स्तरलाई सन्दर्भ गर्दछ। QakBot, Emotet, र IcedID जस्ता परिष्कृत मालवेयर स्ट्रेनहरूले प्राय: यो वास्तुकलालाई प्रयोग गर्दछ। टियर 2 C2 नोडहरू मुख्य कमाण्ड-र-कन्ट्रोल सर्भरहरू (टियर 1) र सम्झौता गरिएका उपकरणहरू वा बटहरू (अन्तबिन्दुहरू) बीचको मध्यस्थकर्ता हुन्।
टियर 2 नोडहरूको उद्देश्य मालवेयरको सञ्चार नेटवर्कको लचिलोपन र स्टिल्थ बढाउनु हो। तिनीहरूले केन्द्रीय C2 सर्भरबाट टियर 2 नोडहरूको नेटवर्कमा आदेशहरू र नियन्त्रण संकेतहरू वितरण गर्न मद्दत गर्छन्, जसले त्यसपछि व्यक्तिगत सम्झौता गरिएका यन्त्रहरूमा यी निर्देशनहरू रिले गर्दछ। यो पदानुक्रमिक सेटअपले सुरक्षा विश्लेषकहरूलाई मुख्य C2 सर्भरहरूमा खराब गतिविधिहरू ट्रेस गर्न गाह्रो बनाउँछ, यसरी पत्ता लगाउने र टेकडाउनहरू बेवास्ता गर्ने मालवेयरको सम्भावना बढाउँछ।
टियर 2 C2 नोडहरू प्राय: डोमेन जेनरेशन एल्गोरिदम वा फास्ट-फ्लक्स नेटवर्कहरू जस्ता विभिन्न प्रविधिहरू प्रयोग गरेर सम्झौता गरिएका उपकरणहरूसँग सञ्चार गर्छन्, जसले मालवेयरको सञ्चार च्यानलहरूलाई रोक्न वा बन्द गर्ने प्रयासहरूलाई थप जटिल बनाउँछ। थ्रेट अभिनेताहरूले आफ्नो बोटनेटहरूमा नियन्त्रण कायम राख्न र केन्द्रीय सर्भर र संक्रमित उपकरणहरू बीचको प्रत्यक्ष सञ्चारसँग सम्बन्धित जोखिमहरूलाई कम गर्दै दुर्भावनापूर्ण कार्यहरूको कार्यान्वयनलाई सहज बनाउन टियर 2 C2 नोडहरू प्रयोग गर्छन्।
C2 सर्भरहरू शोषित
टीम सिम्रु द्वारा अनावरण गरिएको सबैभन्दा भर्खरको निष्कर्षहरूले T2 लेयरसँग संलग्न हुने अवस्थित C2 हरूको गणनामा उल्लेखनीय गिरावटलाई हाइलाइट गर्दछ। अब आठ मात्र बाँकी छ, यो कमी आंशिक रूपमा ब्ल्याक लोटस ल्याब्सले मे २०२३ मा उच्च-स्तरीय पूर्वाधारलाई शून्य-राउट गर्ने कार्यलाई श्रेय दिएको छ। कम्पनीले भारतीय C2s बाट ट्राफिकमा उल्लेखनीय कमी र अमेरिकी C2s को जुन लगभग हराएको देख्यो। 2, जसलाई तिनीहरूले T2 तहलाई नल-राउटिंगसँग सम्बद्ध गर्दछ। 15 C2 सर्भरहरू बाहेक, जुन अघि सक्रिय छ पूर्व-अवस्थित C2 सर्भरहरू र जुनमा दुई नयाँ सक्रिय C2 सर्भरहरूले स्प्यामिङ गतिविधिहरू बन्द गरेपछि पनि जुलाईमा निरन्तर गतिविधि प्रदर्शन गरे।
नेटफ्लो डेटाको थप छानबिनले पुनरावर्ती ढाँचा देखाउँछ जहाँ आउटबाउन्ड T2 जडानहरू प्रायः इनबाउन्ड बोट C2 जडानहरूमा स्पाइकहरू पछ्याउँछन्। थप रूपमा, आउटबाउन्ड T2 जडानहरूमा सर्जहरू प्रायः बोट C2 गतिविधिमा कमीसँग मेल खान्छ। टोली Cymru ले हाइलाइट गर्यो कि पीडितहरूलाई T2 संचारको साथ C2 पूर्वाधारको रूपमा काम गरेर, QakBot प्रयोगकर्ताहरूमा दोहोरो बोझ थोपर्छ, पहिले प्रारम्भिक सम्झौता मार्फत र त्यसपछि तिनीहरूको होस्ट सार्वजनिक रूपमा दुर्भावनापूर्ण रूपमा पहिचान हुँदा तिनीहरूको प्रतिष्ठामा सम्भावित हानि मार्फत। कम्पनीले जोड दियो कि अपस्ट्रीम सर्भरहरूसँग सञ्चार विच्छेद गरेर, पीडितहरूले C2 निर्देशनहरू प्राप्त गर्न सक्दैनन्, प्रभावकारी रूपमा वर्तमान र भविष्यका प्रयोगकर्ताहरूलाई सम्झौताको विरुद्धमा सुरक्षित राख्दै।
QakBot को बारेमा
QakBot, QBot को रूपमा पनि चिनिन्छ, लगभग 2007 देखि एक कुख्यात बैंकिङ ट्रोजन र जानकारी चोर्ने मालवेयर भएको छ। यसले मुख्य रूपमा विन्डोज अपरेटिङ सिस्टमहरूलाई लक्षित गर्दछ र बैंकिङ प्रमाणहरू, क्रेडिट कार्ड विवरणहरू, र संक्रमित कम्प्युटरहरूबाट संवेदनशील वित्तीय जानकारी चोर्न डिजाइन गरिएको हो। व्यक्तिगत डेटा। QakBot सामान्यतया खराब इमेल संलग्नकहरू, लिङ्कहरू, वा संक्रमित वेबसाइटहरू मार्फत आउँछ। एकपटक प्रणालीमा स्थापना भएपछि, यसले कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरहरूसँग जडान गर्न सक्छ, ह्याकरहरूलाई संक्रमित मेसिनलाई नियन्त्रण गर्न र चोरी भएको डाटा टाढाबाट निकाल्न सक्षम पार्छ। QakBot ले वर्षौंमा उच्च स्तरको परिष्कार प्रदर्शन गरेको छ, पत्ता लगाउने र सुरक्षा उपायहरू बेवास्ता गर्न आफ्नो प्रविधिहरू निरन्तर विकसित गर्दै। यो नेटवर्क सेयरहरू मार्फत पनि फैलिन सक्छ र नेटवर्क भित्र प्रचार गर्न कमजोरीहरूको शोषण गर्न सक्छ। समग्रमा, संवेदनशील जानकारी चोर्ने र सम्भावित रूपमा आर्थिक नोक्सान निम्त्याउने क्षमताको कारणले व्यक्ति र संस्थाहरूका लागि QakBot महत्त्वपूर्ण खतरा हो।
QakBot मालवेयर अपरेटरहरूले 15 नयाँ C2 सर्भरहरूको वृद्धिको साथ खतरा बढाउँछन् स्क्रिनसटहरू
