Os Operadores do Malware QakBot Amplificam Ameaças com um Aumento de 15 Novos Servidores C2
Em um desenvolvimento recente, o grupo por trás do malware QakBot (também conhecido como QBot) estabeleceu uma nova rede de 15 servidores de comando e controle (C2) até o final de junho de 2023. Essa observação se baseia na investigação em andamento dos ataques do malware infraestrutura conduzida pela equipe Cymru. Notavelmente, essa expansão segue de perto uma revelação do Lumen Black Lotus Labs, que divulgou que um quarto de seus servidores C2 permanecem operacionais por apenas um único dia, lançando luz sobre a natureza dinâmica e evasiva das operações do QakBot.
O QakBot tradicionalmente exibe um padrão de tempo de inatividade prolongado durante os meses de verão, normalmente ressurgindo em setembro. No ano atual, suas operações de spam foram interrompidas aproximadamente em 22 de junho de 2023, de acordo com a empresa de segurança cibernética. No entanto, ainda não se sabe se os operadores do QakBot usam esse tempo de inatividade como férias ou o utilizam para refinar e atualizar sua infraestrutura e ferramentas.
Índice
Implantando uma Infraestrutura Requintada
Semelhante às arquiteturas observadas no malware Emotet e I
Similar to the architectures observed in Emotet and IcedID, a rede de Comando e Controle (C2) do QakBot exibe uma estrutura de várias camadas. Dentro desse arranjo, os nós C2 se comunicam com os nós C2 Tier 2 (T2) de nível superior hospedados em provedores de servidor privado virtual (VPS) na Rússia. A maioria dos servidores bot C2, que se comunicam com os hosts das vítimas comprometidas, estão principalmente nos Estados Unidos e na Índia. A análise das conexões de saída dos nós T2 revela que os endereços IP de destino estão nos Estados Unidos, Índia, México e Venezuela. Juntamente com os nós C2 e T2, um servidor BackConnect (BC) transforma os bots comprometidos em proxies, permitindo que eles atendam a várias atividades maliciosas. Essa complexa arquitetura de rede ressalta os esforços do QakBot para orquestrar suas operações em vários locais geográficos, aprimorando sua capacidade de gerenciar e controlar com eficácia os sistemas infectados.
Os nós C2 de nível 2, no contexto de ameaças cibernéticas e malware, referem-se ao nível intermediário da infraestrutura de comando e controle em uma arquitetura de várias camadas. Linhagens sofisticadas de malware como QakBot, Emotet e IcedID geralmente empregam essa arquitetura. Os nós C2 de nível 2 são intermediários entre os principais servidores de comando e controle (nível 1) e os dispositivos ou bots comprometidos (endpoints).
O objetivo dos nós de Nível 2 é aumentar a resiliência e a discrição da rede de comunicação do malware. Eles ajudam a distribuir comandos e sinais de controle dos servidores C2 centrais para uma rede de nós Tier 2, que então retransmitem essas instruções para os dispositivos individuais comprometidos. Essa configuração hierárquica torna mais difícil para os analistas de segurança rastrear as atividades maliciosas até os principais servidores C2, aumentando assim as chances do malware escapar da detecção e das remoções.
Os nós C2 de nível 2 geralmente se comunicam com os dispositivos comprometidos usando várias técnicas, como algoritmos de geração de domínio ou redes de fluxo rápido, o que complica ainda mais os esforços para bloquear ou desativar os canais de comunicação do malware. Atores de ameaças usam nós C2 de Nível 2 para manter o controle sobre suas botnets e facilitar a execução de operações maliciosas, minimizando os riscos associados à comunicação direta entre o servidor central e os dispositivos infectados.
Servidores C2 Explorados
As descobertas mais recentes reveladas pela equipe Cymru destacam um declínio notável na contagem de C2s existentes que se envolvem com a camada T2. Agora, com apenas oito restantes, essa diminuição é parcialmente atribuída às ações do Black Lotus Labs de roteamento nulo da infraestrutura de nível superior em maio de 2023. A empresa observou uma redução substancial no tráfego de C2s indianos e o quase desaparecimento de C2s dos EUA por volta de junho 2, que eles associam ao roteamento nulo da camada T2. Além dos 15 servidores C2, seis servidores C2 pré-existentes ativos antes de junho e dois servidores C2 recém-ativados em junho exibiram atividade contínua ao longo de julho, mesmo após o término das atividades de spam.
Um exame mais minucioso dos dados do NetFlow mostra um padrão recorrente em que as conexões T2 de saída aumentadas geralmente seguem picos nas conexões C2 de bots de entrada. Além disso, picos nas conexões T2 de saída frequentemente coincidem com quedas na atividade do bot C2. A equipe Cymru destacou que, ao empregar vítimas como infraestrutura C2 com comunicação T2, o QakBot impõe uma carga dupla aos usuários, primeiro pelo comprometimento inicial e depois pelo dano potencial à sua reputação quando seu host é reconhecido publicamente como malicioso. A empresa enfatizou que, ao interromper as comunicações com servidores upstream, as vítimas não podem receber instruções C2, protegendo efetivamente os usuários atuais e futuros contra comprometimento.
Sobre o QakBot
O QakBot, também conhecido como QBot, é um notório trojan bancário e malware para roubo de informações desde 2007. Ele visa principalmente os sistemas operacionais Windows e foi projetado para roubar informações financeiras confidenciais de computadores infectados, como credenciais bancárias, detalhes de cartão de crédito e dados pessoais. O QakBot geralmente vem por meio de anexos de e-mail maliciosos, links ou sites infectados. Uma vez instalado em um sistema, ele pode se conectar a servidores de comando e controle (C2), permitindo que hackers controlem a máquina infectada e extraiam dados roubados remotamente. O QakBot demonstrou um alto nível de sofisticação ao longo dos anos, evoluindo constantemente suas técnicas para evitar detecção e medidas de segurança. Ele também pode se espalhar por meio de compartilhamentos de rede e explorar vulnerabilidades para se propagar dentro de uma rede. No geral, o QakBot é uma ameaça significativa para indivíduos e organizações devido à sua capacidade de roubar informações confidenciais e potencialmente levar a perdas financeiras.
Os Operadores do Malware QakBot Amplificam Ameaças com um Aumento de 15 Novos Servidores C2 capturas de tela
