Operatorzy złośliwego oprogramowania QakBot zwiększają zagrożenie dzięki 15 nowym serwerom C2
W ramach niedawnego rozwoju grupa stojąca za złośliwym oprogramowaniem QakBot (znana również jako QBot) stworzyła nową sieć 15 serwerów dowodzenia i kontroli (C2) do końca czerwca 2023 r. Ta obserwacja opiera się na trwającym dochodzeniu w sprawie złośliwego oprogramowania infrastruktura prowadzona przez Team Cymru. Co ciekawe, ta ekspansja nastąpiła tuż po ujawnieniu informacji przez Lumen Black Lotus Labs, która ujawniła, że jedna czwarta jej serwerów C2 działa tylko przez jeden dzień, rzucając światło na dynamiczny i nieuchwytny charakter operacji QakBot .
QakBot tradycyjnie wykazuje wzór przedłużonych przestojów w miesiącach letnich, zazwyczaj pojawia się ponownie we wrześniu. Według firmy zajmującej się bezpieczeństwem cybernetycznym w bieżącym roku operacje spamowania zostały wstrzymane około 22 czerwca 2023 r. Jednak to, czy operatorzy QakBot wykorzystają ten przestój jako urlop, czy wykorzystają go do udoskonalenia i aktualizacji swojej infrastruktury i narzędzi, dopiero się okaże.
Spis treści
Wdrażanie znakomitej infrastruktury
Podobnie do architektur obserwowanych w szkodliwym oprogramowaniu Emotet i I cedID , sieć Command-and-Control (C2) QakBot ma wielopoziomową strukturę. W ramach tego układu węzły C2 komunikują się z węzłami C2 wyższego poziomu Tier 2 (T2) hostowanymi przez dostawców wirtualnych serwerów prywatnych (VPS) w Rosji. Większość serwerów botów C2, które komunikują się z zainfekowanymi hostami ofiar, znajduje się głównie w Stanach Zjednoczonych i Indiach. Analiza połączeń wychodzących z węzłów T2 ujawnia, że docelowe adresy IP znajdują się w Stanach Zjednoczonych, Indiach, Meksyku i Wenezueli. Oprócz węzłów C2 i T2 serwer BackConnect (BC) przekształca zainfekowane boty w serwery proxy, umożliwiając im wykonywanie różnych złośliwych działań. Ta skomplikowana architektura sieci podkreśla wysiłki QakBota w zakresie organizacji operacji w wielu lokalizacjach geograficznych, zwiększając jego zdolność do efektywnego zarządzania i kontrolowania zainfekowanych systemów.
Węzły Tier 2 C2 w kontekście cyberzagrożeń i złośliwego oprogramowania odnoszą się do pośredniego poziomu infrastruktury dowodzenia i kontroli w architekturze wielowarstwowej. Wyrafinowane odmiany złośliwego oprogramowania, takie jak QakBot, Emotet i IcedID, często wykorzystują tę architekturę. Węzły C2 warstwy 2 są pośrednikami między głównymi serwerami dowodzenia i kontroli (poziom 1) a zaatakowanymi urządzeniami lub botami (punktami końcowymi).
Celem węzłów warstwy 2 jest zwiększenie odporności i ukrycia sieci komunikacyjnej złośliwego oprogramowania. Pomagają w dystrybucji poleceń i sygnałów sterujących z centralnych serwerów C2 do sieci węzłów Tier 2, które następnie przekazują te instrukcje do poszczególnych zaatakowanych urządzeń. Ta hierarchiczna konfiguracja utrudnia analitykom bezpieczeństwa śledzenie złośliwych działań z powrotem do głównych serwerów C2, zwiększając w ten sposób szanse złośliwego oprogramowania na uniknięcie wykrycia i usunięcia.
Węzły warstwy 2 C2 często komunikują się z zaatakowanymi urządzeniami przy użyciu różnych technik, takich jak algorytmy generowania domen lub sieci typu fast-flux, co dodatkowo komplikuje próby blokowania lub wyłączania kanałów komunikacyjnych złośliwego oprogramowania. Aktorzy zajmujący się zagrożeniami wykorzystują węzły poziomu 2 C2 do utrzymania kontroli nad swoimi botnetami i ułatwienia wykonywania złośliwych operacji, jednocześnie minimalizując ryzyko związane z bezpośrednią komunikacją między serwerem centralnym a zainfekowanymi urządzeniami.
Wykorzystane serwery C2
Najnowsze odkrycia ujawnione przez Team Cymru podkreślają godny uwagi spadek liczby istniejących C2, które angażują się w warstwę T2. Teraz, gdy pozostało tylko osiem, spadek ten jest częściowo przypisywany działaniom Black Lotus Labs polegającym na wyzerowaniu tras w infrastrukturze wyższego poziomu w maju 2023 r. Firma zaobserwowała znaczne zmniejszenie ruchu z indyjskich C2 i prawie zniknięcie amerykańskich C2 w okolicach czerwca 2, które kojarzą z trasowaniem zerowym warstwy T2. Oprócz 15 serwerów C2, sześć istniejących serwerów C2 aktywnych przed czerwcem i dwa nowo aktywowane serwery C2 w czerwcu wykazywały ciągłą aktywność przez cały lipiec, nawet po zaprzestaniu spamowania.
Dalsza analiza danych NetFlow ujawnia powtarzający się wzorzec, w którym zwiększone wychodzące połączenia T2 często następują po skokach w przychodzących połączeniach bota C2. Ponadto skoki w wychodzących połączeniach T2 często zbiegają się ze spadkami aktywności bota C2. Zespół Cymru podkreślił, że wykorzystując ofiary jako infrastrukturę C2 z komunikacją T2, QakBot nakłada podwójne obciążenie na użytkowników, najpierw poprzez początkowe kompromisy, a następnie poprzez potencjalną szkodę dla ich reputacji, gdy ich host zostanie publicznie uznany za złośliwego. Firma podkreśliła, że zrywając komunikację z serwerami nadrzędnymi, ofiary nie mogą otrzymywać instrukcji C2, skutecznie chroniąc obecnych i przyszłych użytkowników przed włamaniem.
O QakBocie
QakBot, znany również jako QBot, jest znanym bankowym trojanem i złośliwym oprogramowaniem kradnącym informacje od około 2007 roku. Jego głównym celem są systemy operacyjne Windows i ma na celu kradzież poufnych informacji finansowych z zainfekowanych komputerów, takich jak dane uwierzytelniające bankowe, dane kart kredytowych i dane osobiste. QakBot zazwyczaj pojawia się w złośliwych załącznikach wiadomości e-mail, linkach lub zainfekowanych witrynach internetowych. Po zainstalowaniu w systemie może łączyć się z serwerami dowodzenia i kontroli (C2), umożliwiając hakerom kontrolowanie zainfekowanej maszyny i zdalną eksfiltrację skradzionych danych. QakBot przez lata wykazywał wysoki poziom wyrafinowania, stale rozwijając swoje techniki w celu uniknięcia wykrycia i środków bezpieczeństwa. Może również rozprzestrzeniać się poprzez udziały sieciowe i wykorzystywać luki w zabezpieczeniach do rozprzestrzeniania się w sieci. Ogólnie rzecz biorąc, QakBot stanowi poważne zagrożenie dla osób i organizacji ze względu na jego zdolność do kradzieży poufnych informacji i potencjalnego doprowadzenia do strat finansowych.
Operatorzy złośliwego oprogramowania QakBot zwiększają zagrożenie dzięki 15 nowym serwerom C2 zrzutów ekranu
