Operatorii de programe malware QakBot amplifică amenințarea cu creșterea a 15 noi servere C2
Într-o dezvoltare recentă, grupul din spatele programului malware QakBot (cunoscut și ca QBot) a stabilit o nouă rețea de 15 servere de comandă și control (C2) până la sfârșitul lunii iunie 2023. Această observație se bazează pe investigația în curs a malware-ului. infrastructura condusă de echipa Cymru. În mod remarcabil, această expansiune urmează îndeaproape după o revelație a Lumen Black Lotus Labs, care a dezvăluit că un sfert din serverele sale C2 rămân operaționale doar o singură zi, aruncând lumină asupra naturii dinamice și evazive a operațiunilor QakBot .
QakBot prezintă în mod tradițional un model de timp de nefuncționare prelungit în timpul lunilor de vară, de obicei reaparând în septembrie. În anul curent, operațiunile sale de spam s-au oprit aproximativ pe 22 iunie 2023, potrivit firmei de securitate cibernetică. Cu toate acestea, rămâne de văzut dacă operatorii QakBot folosesc acest timp de nefuncționare ca o vacanță sau îl folosesc pentru a-și rafina și actualiza infrastructura și instrumentele.
Cuprins
Implementarea infrastructurii rafinate
Similar cu arhitecturile observate în programele malware Emotet și I cedID , rețeaua Command-and-Control (C2) a QakBot prezintă o structură cu mai multe niveluri. În cadrul acestui aranjament, nodurile C2 comunică cu nodurile C2 de nivel superior Tier 2 (T2) găzduite pe furnizorii de servere private virtuale (VPS) din Rusia. Majoritatea serverelor bot C2, care comunică cu gazdele victimelor compromise, se află în principal în Statele Unite și India. Analiza conexiunilor de ieșire de la nodurile T2 relevă că adresele IP de destinație sunt în Statele Unite, India, Mexic și Venezuela. Alături de nodurile C2 și T2, un server BackConnect (BC) transformă roboții compromisi în proxy, permițându-le să servească diferite activități rău intenționate. Această arhitectură de rețea complexă subliniază eforturile QakBot de a-și orchestra operațiunile în mai multe locații geografice, sporind capacitatea sa de a gestiona și controla eficient sistemele infectate.
Nodurile de nivel 2 C2, în contextul amenințărilor cibernetice și al programelor malware, se referă la nivelul intermediar al infrastructurii de comandă și control într-o arhitectură cu mai multe niveluri. Tulpinile sofisticate de malware precum QakBot, Emotet și IcedID folosesc adesea această arhitectură. Nodurile C2 de nivelul 2 sunt intermediari între serverele principale de comandă și control (nivelul 1) și dispozitivele sau roboții compromise (puncte finale).
Scopul nodurilor de nivel 2 este de a spori rezistența și ascunsarea rețelei de comunicații a malware-ului. Ele ajută la distribuirea comenzilor și a semnalelor de control de la serverele centrale C2 către o rețea de noduri Tier 2, care apoi transmit aceste instrucțiuni către dispozitivele individuale compromise. Această configurație ierarhică îngreunează analiștii de securitate să urmărească activitățile rău intenționate până la principalele servere C2, crescând astfel șansele malware-ului de a evita detectarea și eliminarea.
Nodurile de nivel 2 C2 comunică adesea cu dispozitivele compromise utilizând diverse tehnici, cum ar fi algoritmi de generare de domenii sau rețele cu flux rapid, ceea ce complică și mai mult eforturile de a bloca sau dezactiva canalele de comunicare ale malware-ului. Actorii amenințărilor folosesc nodurile de nivel 2 C2 pentru a menține controlul asupra rețelelor lor bot și pentru a facilita executarea operațiunilor rău intenționate, reducând în același timp riscurile asociate cu comunicarea directă între serverul central și dispozitivele infectate.
Servere C2 exploatate
Cele mai recente descoperiri dezvăluite de Team Cymru evidențiază o scădere demnă de remarcat a numărului de C2 existente care se angajează cu stratul T2. Acum, cu doar opt rămase, această scădere este parțial atribuită acțiunilor Black Lotus Labs de a nul-ruta infrastructura de nivel superior în mai 2023. Compania a observat o reducere substanțială a traficului de la C2-urile indiene și aproape dispariția C2-urilor din SUA în jurul lunii iunie. 2, pe care îl asociază cu rutarea nulă a stratului T2. Pe lângă cele 15 servere C2, șase servere C2 preexistente active înainte de iunie și două servere C2 nou activate în iunie au afișat activitate continuă pe tot parcursul lunii iulie, chiar și după încetarea activităților de spam.
O examinare ulterioară a datelor NetFlow afișează un model recurent în care conexiunile T2 de ieșire sporite urmează adesea vârfuri în conexiunile C2 bot de intrare. În plus, creșterile în conexiunile T2 de ieșire coincid frecvent cu scăderile activității bot C2. Echipa Cymru a subliniat că, prin angajarea victimelor ca infrastructură C2 cu comunicație T2, QakBot impune o dublă povară utilizatorilor, mai întâi prin compromisul inițial și apoi prin potențialul prejudiciu adus reputației lor atunci când gazda lor este recunoscută public ca fiind rău intenționată. Compania a subliniat că prin întreruperea comunicațiilor cu serverele din amonte, victimele nu pot primi instrucțiuni C2, protejând eficient utilizatorii actuali și viitori împotriva compromisurilor.
Despre QakBot
QakBot, cunoscut și sub numele de QBot, este un troian bancar notoriu și un malware care fură informații încă din 2007. Vizează în primul rând sistemele de operare Windows și este conceput pentru a fura informații financiare sensibile de pe computerele infectate, cum ar fi acreditările bancare, detaliile cărților de credit și date personale. QakBot vine de obicei prin atașamente de e-mail rău intenționate, link-uri sau site-uri web infectate. Odată instalat pe un sistem, acesta se poate conecta la servere de comandă și control (C2), permițând hackerilor să controleze mașina infectată și să exfiltreze datele furate de la distanță. QakBot a demonstrat un nivel ridicat de sofisticare de-a lungul anilor, evoluând constant tehnicile sale pentru a evita măsurile de detectare și securitate. De asemenea, se poate răspândi prin partajări de rețea și exploata vulnerabilitățile pentru a se propaga în cadrul unei rețele. În general, QakBot este o amenințare semnificativă pentru indivizi și organizații datorită capacității sale de a fura informații sensibile și poate duce la pierderi financiare.
Operatorii de programe malware QakBot amplifică amenințarea cu creșterea a 15 noi servere C2 de capturi de ecran
