QakBot-malware-operators versterken de dreiging met een toename van 15 nieuwe C2-servers
In een recente ontwikkeling heeft de groep achter de QakBot-malware (ook bekend als QBot) eind juni 2023 een nieuw netwerk van 15 command-and-control (C2)-servers opgezet. Deze observatie bouwt voort op het lopende onderzoek naar de malware. infrastructuur uitgevoerd door Team Cymru. Opmerkelijk genoeg volgt deze uitbreiding op de voet na een onthulling door Lumen Black Lotus Labs, die onthulde dat een kwart van zijn C2-servers slechts één dag operationeel blijft, wat licht werpt op de dynamische en ongrijpbare aard van de activiteiten van QakBot .
QakBot vertoont van oudsher een patroon van langdurige downtime tijdens de zomermaanden, die meestal weer opduikt in september. Volgens het cyberbeveiligingsbedrijf stopten de spamactiviteiten in het lopende jaar ongeveer op 22 juni 2023. Het valt echter nog te bezien of de QakBot-operators deze downtime als vakantie gebruiken of gebruiken om hun infrastructuur en tools te verfijnen en bij te werken.
Inhoudsopgave
Uitmuntende infrastructuur implementeren
Vergelijkbaar met de architecturen die worden waargenomen in Emotet en I cedID- malware, vertoont het Command-and-Control (C2)-netwerk van QakBot een meerlagige structuur. Binnen deze regeling communiceren de C2-knooppunten met een hoger niveau Tier 2 (T2) C2-knooppunten die worden gehost op virtual private server (VPS)-providers in Rusland. De meeste bot C2-servers, die communiceren met de gecompromitteerde slachtofferhosts, bevinden zich voornamelijk in de Verenigde Staten en India. Analyse van de uitgaande verbindingen van T2-knooppunten laat zien dat de bestemmings-IP-adressen zich in de Verenigde Staten, India, Mexico en Venezuela bevinden. Naast de C2- en T2-knooppunten transformeert een BackConnect-server (BC) de gecompromitteerde bots in proxy's, waardoor ze verschillende kwaadaardige activiteiten kunnen uitvoeren. Deze ingewikkelde netwerkarchitectuur onderstreept de inspanningen van QakBot om zijn activiteiten over meerdere geografische locaties te orkestreren, waardoor het vermogen om geïnfecteerde systemen effectief te beheren en te controleren, wordt verbeterd.
Tier 2 C2-knooppunten, in de context van cyberdreigingen en malware, verwijzen naar het tussenliggende niveau van commando- en controle-infrastructuur binnen een architectuur met meerdere lagen. Geavanceerde malwaresoorten zoals QakBot, Emotet en IcedID maken vaak gebruik van deze architectuur. Tier 2 C2-knooppunten zijn intermediairs tussen de belangrijkste command-and-control-servers (Tier 1) en de gecompromitteerde apparaten of bots (endpoints).
Het doel van Tier 2-nodes is om de veerkracht en onopvallendheid van het communicatienetwerk van de malware te vergroten. Ze helpen bij het distribueren van commando's en besturingssignalen van de centrale C2-servers naar een netwerk van Tier 2-knooppunten, die deze instructies vervolgens doorgeven aan de afzonderlijke gecompromitteerde apparaten. Deze hiërarchische opzet maakt het moeilijker voor beveiligingsanalisten om de kwaadaardige activiteiten terug te traceren naar de belangrijkste C2-servers, waardoor de kans groter wordt dat de malware detectie en verwijderingen ontwijkt.
Tier 2 C2-knooppunten communiceren vaak met de gecompromitteerde apparaten met behulp van verschillende technieken, zoals algoritmen voor het genereren van domeinen of fast-flux-netwerken, wat het moeilijker maakt om de communicatiekanalen van de malware te blokkeren of uit te schakelen. Bedreigingsactoren gebruiken Tier 2 C2-nodes om de controle over hun botnets te behouden en de uitvoering van kwaadaardige operaties te vergemakkelijken, terwijl de risico's die gepaard gaan met directe communicatie tussen de centrale server en de geïnfecteerde apparaten worden geminimaliseerd.
C2-servers misbruikt
De meest recente bevindingen onthuld door Team Cymru wijzen op een opmerkelijke afname van het aantal bestaande C2's die zich bezighouden met de T2-laag. Nu er nog maar acht over zijn, wordt deze daling gedeeltelijk toegeschreven aan de acties van Black Lotus Labs om de hogere infrastructuur in mei 2023 null-routering te geven. Het bedrijf constateerde een aanzienlijke vermindering van het verkeer van Indiase C2's en de bijna verdwijning van Amerikaanse C2's rond juni 2, die ze associëren met nulroutering van de T2-laag. Naast de 15 C2-servers, vertoonden zes reeds bestaande C2-servers die vóór juni actief waren en twee nieuw geactiveerde C2-servers in juni, gedurende juli aanhoudende activiteit, zelfs nadat de spamactiviteiten waren stopgezet.
Nader onderzoek van NetFlow-gegevens laat een terugkerend patroon zien waarbij verhoogde uitgaande T2-verbindingen vaak volgen op pieken in inkomende bot C2-verbindingen. Bovendien vallen pieken in uitgaande T2-verbindingen vaak samen met dalende bot C2-activiteit. Team Cymru benadrukte dat QakBot, door slachtoffers in te zetten als C2-infrastructuur met T2-communicatie, een dubbele last oplegt aan gebruikers, eerst door het aanvankelijke compromis en vervolgens door de potentiële schade aan hun reputatie wanneer hun host publiekelijk wordt erkend als kwaadaardig. Het bedrijf benadrukte dat slachtoffers door het verbreken van de communicatie met upstream-servers geen C2-instructies kunnen ontvangen, waardoor huidige en toekomstige gebruikers effectief worden beschermd tegen compromissen.
Over QakBot
QakBot, ook bekend als QBot, is sinds ongeveer 2007 een beruchte bank-trojan en informatiestelende malware. Het richt zich voornamelijk op Windows-besturingssystemen en is ontworpen om gevoelige financiële informatie van geïnfecteerde computers te stelen, zoals bankreferenties, creditcardgegevens en persoonlijke gegevens. QakBot komt meestal binnen via kwaadaardige e-mailbijlagen, links of geïnfecteerde websites. Eenmaal geïnstalleerd op een systeem, kan het verbinding maken met command-and-control (C2)-servers, waardoor hackers de geïnfecteerde machine kunnen besturen en gestolen gegevens op afstand kunnen exfiltreren. QakBot heeft in de loop der jaren blijk gegeven van een hoog niveau van verfijning en heeft voortdurend zijn technieken ontwikkeld om detectie- en beveiligingsmaatregelen te omzeilen. Het kan zich ook verspreiden via netwerkshares en misbruik maken van kwetsbaarheden om zich binnen een netwerk te verspreiden. Over het algemeen vormt QakBot een aanzienlijke bedreiging voor individuen en organisaties vanwege het vermogen om gevoelige informatie te stelen en mogelijk tot financiële verliezen te leiden.
QakBot-malware-operators versterken de dreiging met een toename van 15 nieuwe C2-servers schermafbeeldingen
