Операторы вредоносного ПО QakBot усиливают угрозу с появлением 15 новых серверов C2
В недавней разработке группа, стоящая за вредоносным ПО QakBot (также известным как QBot), к концу июня 2023 года создала новую сеть из 15 серверов управления и контроля (C2). Это наблюдение основано на продолжающемся расследовании вредоносного ПО. инфраструктура, проводимая Team Cymru. Примечательно, что это расширение последовало сразу после разоблачения Lumen Black Lotus Labs, которая сообщила, что четверть ее серверов C2 остаются в рабочем состоянии всего один день, что проливает свет на динамичный и неуловимый характер операций QakBot .
QakBot традиционно имеет тенденцию к длительному простою в летние месяцы, обычно возобновляясь в сентябре. По данным компании, занимающейся кибербезопасностью, в текущем году его операции по рассылке спама прекратились примерно 22 июня 2023 года. Однако еще неизвестно, используют ли операторы QakBot это время простоя как отпуск или используют его для усовершенствования и обновления своей инфраструктуры и инструментов.
Оглавление
Развертывание изысканной инфраструктуры
Подобно архитектуре вредоносных программ Emotet и I cedID , сеть управления и контроля (C2) QakBot имеет многоуровневую структуру. В рамках этой схемы узлы C2 взаимодействуют с узлами C2 уровня 2 (T2) более высокого уровня, размещенными на провайдерах виртуальных частных серверов (VPS) в России. Большинство C2-серверов ботов, которые взаимодействуют со скомпрометированными хостами-жертвами, в основном находятся в США и Индии. Анализ исходящих соединений от узлов T2 показывает, что IP-адреса назначения находятся в США, Индии, Мексике и Венесуэле. Наряду с узлами C2 и T2 сервер BackConnect (BC) преобразует скомпрометированных ботов в прокси-серверы, позволяя им выполнять различные вредоносные действия. Эта сложная сетевая архитектура подчеркивает усилия QakBot по координации своих операций в нескольких географических точках, повышая его способность эффективно управлять зараженными системами и контролировать их.
Узлы уровня 2 C2 в контексте киберугроз и вредоносных программ относятся к промежуточному уровню инфраструктуры управления и контроля в многоуровневой архитектуре. Сложные штаммы вредоносных программ, такие как QakBot, Emotet и IcedID, часто используют эту архитектуру. Узлы уровня 2 C2 являются посредниками между основными серверами управления и контроля (уровень 1) и скомпрометированными устройствами или ботами (конечными точками).
Целью узлов уровня 2 является повышение устойчивости и скрытности коммуникационной сети вредоносного ПО. Они помогают распределять команды и управляющие сигналы от центральных серверов C2 к сети узлов уровня 2, которые затем передают эти инструкции на отдельные скомпрометированные устройства. Эта иерархическая структура затрудняет для аналитиков безопасности отслеживание вредоносных действий до основных серверов C2, что увеличивает шансы вредоносного ПО избежать обнаружения и уничтожения.
Узлы уровня 2 C2 часто взаимодействуют со скомпрометированными устройствами, используя различные методы, такие как алгоритмы генерации доменов или сети fast-flux, что еще больше усложняет усилия по блокировке или отключению каналов связи вредоносного ПО. Злоумышленники используют узлы C2 уровня 2 для сохранения контроля над своими ботнетами и облегчения выполнения вредоносных операций при минимизации рисков, связанных с прямой связью между центральным сервером и зараженными устройствами.
Серверы C2 эксплуатируются
Самые последние результаты, представленные Team Cymru, подчеркивают заметное снижение количества существующих C2, которые взаимодействуют со слоем T2. Теперь, когда осталось всего восемь, это снижение частично объясняется действиями Black Lotus Labs по нулевой маршрутизации инфраструктуры более высокого уровня в мае 2023 года. Компания наблюдала существенное сокращение трафика от индийских C2 и почти исчезновение американских C2 примерно в июне. 2, который они связывают с нулевой маршрутизацией уровня T2. В дополнение к 15 серверам C2, шесть ранее существовавших серверов C2, активных до июня, и два недавно активированных сервера C2 в июне продолжали работать в течение июля, даже после прекращения деятельности по рассылке спама.
Дальнейшее изучение данных NetFlow выявляет повторяющуюся закономерность, при которой повышенные исходящие соединения T2 часто следуют за скачками входящих соединений ботов C2. Кроме того, всплески исходящих соединений T2 часто совпадают с провалами активности ботов C2. Команда Cymru подчеркнула, что, используя жертвы в качестве инфраструктуры C2 с связью T2, QakBot возлагает на пользователей двойное бремя: сначала через первоначальную компрометацию, а затем через потенциальный ущерб их репутации, когда их хост публично признается вредоносным. Компания подчеркнула, что, прерывая связь с вышестоящими серверами, жертвы не могут получать инструкции C2, что эффективно защищает нынешних и будущих пользователей от компрометации.
О Какботе
QakBot, также известный как QBot, был печально известным банковским трояном и вредоносным ПО для кражи информации примерно с 2007 года. Он в первую очередь нацелен на операционные системы Windows и предназначен для кражи конфиденциальной финансовой информации с зараженных компьютеров, такой как банковские учетные данные, данные кредитной карты и личные данные. QakBot обычно приходит через вредоносные вложения электронной почты, ссылки или зараженные веб-сайты. После установки в системе он может подключаться к серверам управления и контроля (C2), позволяя хакерам контролировать зараженную машину и удаленно извлекать украденные данные. QakBot на протяжении многих лет демонстрировал высокий уровень сложности, постоянно совершенствуя свои методы, чтобы избежать обнаружения и мер безопасности. Он также может распространяться через общие сетевые ресурсы и использовать уязвимости для распространения в сети. В целом, QakBot представляет собой серьезную угрозу для отдельных лиц и организаций из-за его способности красть конфиденциальную информацию и потенциально приводить к финансовым потерям.
Операторы вредоносного ПО QakBot усиливают угрозу с появлением 15 новых серверов C2 Скриншотов
