Operátori malvéru QakBot zosilňujú hrozbu nárastom 15 nových serverov C2
V rámci nedávneho vývoja skupina stojaca za malvérom QakBot (tiež známym ako QBot) vytvorila do konca júna 2023 novú sieť 15 serverov príkazového a riadiaceho systému (C2). Toto pozorovanie vychádza z prebiehajúceho vyšetrovania malvéru. infraštruktúra vedená tímom Cymru. Je pozoruhodné, že toto rozšírenie nasleduje tesne po odhalení laboratórií Lumen Black Lotus Labs, ktoré odhalilo, že štvrtina jeho serverov C2 zostáva v prevádzke len jeden deň, čo vrhá svetlo na dynamickú a nepolapiteľnú povahu operácií QakBot .
QakBot tradične vykazuje vzor predĺžených prestojov počas letných mesiacov, zvyčajne sa obnovuje v septembri. V aktuálnom roku sa jej spamovacie operácie podľa spoločnosti zaoberajúcej sa kybernetickou bezpečnosťou zastavili približne 22. júna 2023. Či však operátori QakBot využijú tento prestoj ako dovolenku alebo ho využijú na dolaďovanie a aktualizáciu svojej infraštruktúry a nástrojov, sa ešte len uvidí.
Obsah
Nasadenie vynikajúcej infraštruktúry
Podobne ako v architektúrach pozorovaných v malvéri Emotet a I cedID , sieť Command-and-Control (C2) QakBot vykazuje viacvrstvovú štruktúru. V rámci tohto usporiadania komunikujú uzly C2 s uzlami C2 vyššej úrovne Tier 2 (T2) hosťovanými u poskytovateľov virtuálnych súkromných serverov (VPS) v Rusku. Väčšina serverov bot C2, ktoré komunikujú s hostiteľmi napadnutých obetí, je primárne v Spojených štátoch a Indii. Analýza odchádzajúcich pripojení z uzlov T2 ukazuje, že cieľové adresy IP sú v Spojených štátoch, Indii, Mexiku a Venezuele. Popri uzloch C2 a T2 server BackConnect (BC) transformuje napadnuté roboty na proxy, čo im umožňuje slúžiť rôznym škodlivým aktivitám. Táto zložitá sieťová architektúra podčiarkuje úsilie spoločnosti QakBot organizovať svoje operácie vo viacerých geografických lokalitách, čím sa zvyšuje jej schopnosť efektívne spravovať a kontrolovať infikované systémy.
Uzly úrovne 2 C2 v kontexte kybernetických hrozieb a malvéru označujú strednú úroveň infraštruktúry príkazov a riadenia v rámci viacvrstvovej architektúry. Sofistikované kmene malvéru ako QakBot, Emotet a IcedID často využívajú túto architektúru. Uzly C2 úrovne 2 sú sprostredkovateľmi medzi hlavnými servermi pre príkazy a riadenie (úroveň 1) a napadnutými zariadeniami alebo robotmi (koncovými bodmi).
Účelom uzlov úrovne 2 je zvýšiť odolnosť a utajenie komunikačnej siete škodlivého softvéru. Pomáhajú distribuovať príkazy a riadiace signály z centrálnych serverov C2 do siete uzlov Tier 2, ktoré potom prenášajú tieto pokyny do jednotlivých napadnutých zariadení. Toto hierarchické nastavenie sťažuje bezpečnostným analytikom sledovanie škodlivých aktivít späť na hlavné servery C2, čím sa zvyšuje šanca malvéru vyhnúť sa detekcii a odstráneniu.
Uzly úrovne 2 C2 často komunikujú s napadnutými zariadeniami pomocou rôznych techník, ako sú algoritmy na generovanie domény alebo siete s rýchlym tokom, čo ešte viac komplikuje snahy o zablokovanie alebo vypnutie komunikačných kanálov škodlivého softvéru. Aktéri hrozieb používajú uzly Tier 2 C2 na udržanie kontroly nad svojimi botnetmi a uľahčenie vykonávania škodlivých operácií a zároveň minimalizujú riziká spojené s priamou komunikáciou medzi centrálnym serverom a infikovanými zariadeniami.
C2 servery využívané
Najnovšie zistenia odhalené tímom Cymru poukazujú na pozoruhodný pokles počtu existujúcich C2, ktoré sú v kontakte s vrstvou T2. Teraz, keď už zostáva len osem, je tento pokles čiastočne pripisovaný akciám Black Lotus Labs o nulovom smerovaní infraštruktúry vyššej úrovne v máji 2023. Spoločnosť zaznamenala podstatné zníženie prevádzky z indických C2 a takmer zmiznutie amerických C2 okolo júna. 2, ktoré spájajú s nulovým smerovaním vrstvy T2. Okrem 15 serverov C2, šesť už existujúcich serverov C2 aktívnych pred júnom a dva novoaktivované servery C2 v júni vykazovali nepretržitú aktivitu počas júla, a to aj po ukončení spamovania.
Ďalšie skúmanie údajov NetFlow ukazuje opakujúci sa vzor, keď zvýšené odchádzajúce pripojenia T2 často sledujú špičky v prichádzajúcich pripojeniach robotov C2. Okrem toho prepätia v odchádzajúcich pripojeniach T2 sa často zhodujú s poklesmi v aktivite bot C2. Tím Cymru zdôraznil, že tým, že QakBot využíva obete ako infraštruktúru C2 s komunikáciou T2, ukladá používateľom dvojitú záťaž, najprv prostredníctvom počiatočného kompromisu a potom prostredníctvom potenciálneho poškodenia ich reputácie, keď je ich hostiteľ verejne uznaný ako škodlivý. Spoločnosť zdôraznila, že prerušením komunikácie s upstream servermi nemôžu obete dostávať inštrukcie C2, čím účinne chráni súčasných a budúcich používateľov pred kompromismi.
O QakBot
QakBot, tiež známy ako QBot, je notoricky známy bankový trójsky kôň a malvér na kradnutie informácií približne od roku 2007. Zameriava sa predovšetkým na operačné systémy Windows a je určený na odcudzenie citlivých finančných informácií z infikovaných počítačov, ako sú bankové poverenia, údaje o kreditných kartách a osobné údaje. QakBot zvyčajne prichádza prostredníctvom škodlivých e-mailových príloh, odkazov alebo infikovaných webových stránok. Po nainštalovaní do systému sa môže pripojiť k serverom príkazového a riadiaceho systému (C2), čo hackerom umožní ovládať infikovaný počítač a na diaľku preniknúť ukradnuté údaje. QakBot v priebehu rokov preukázal vysokú úroveň sofistikovanosti a neustále zdokonaľoval svoje techniky, aby sa vyhli detekčným a bezpečnostným opatreniam. Môže sa tiež šíriť prostredníctvom zdieľania siete a využívať zraniteľné miesta na šírenie v rámci siete. Celkovo je QakBot významnou hrozbou pre jednotlivcov a organizácie kvôli svojej schopnosti ukradnúť citlivé informácie a potenciálne viesť k finančným stratám.
Operátori malvéru QakBot zosilňujú hrozbu nárastom 15 nových serverov C2 snímok obrazovky
