Operaterji zlonamerne programske opreme QakBot povečajo grožnjo s porastom 15 novih strežnikov C2
V nedavnem razvoju je skupina, ki stoji za zlonamerno programsko opremo QakBot (znano tudi kot QBot), do konca junija 2023 vzpostavila novo mrežo 15 strežnikov za ukazovanje in nadzor (C2). To opažanje temelji na tekoči preiskavi zlonamerne programske opreme infrastrukture, ki jo izvaja Team Cymru. Zanimivo je, da ta razširitev sledi razkritju Lumen Black Lotus Labs, ki je razkrilo, da četrtina njegovih strežnikov C2 deluje samo en dan, kar je osvetlilo dinamično in izmuzljivo naravo operacij QakBot .
QakBot tradicionalno kaže vzorec podaljšanega izpada v poletnih mesecih, običajno se ponovno pojavi septembra. Po navedbah podjetja za kibernetsko varnost so se v tekočem letu njegove dejavnosti pošiljanja neželene elektronske pošte ustavile približno 22. junija 2023. Vendar pa bomo še videli, ali operaterji QakBot izkoristijo ta čas nedelovanja kot dopust ali ga izkoristijo za izboljšanje in posodabljanje svoje infrastrukture in orodij.
Kazalo
Postavitev izjemne infrastrukture
Podobno kot pri arhitekturah, opaženih v zlonamerni programski opremi Emotet in I cedID , ima omrežje Command-and-Control (C2) QakBot večnivojsko strukturo. Znotraj te ureditve vozlišča C2 komunicirajo z vozlišči C2 stopnje 2 (T2) višje ravni, ki gostujejo pri ponudnikih virtualnih zasebnih strežnikov (VPS) v Rusiji. Večina bot strežnikov C2, ki komunicirajo z ogroženimi gostitelji žrtev, je predvsem v Združenih državah in Indiji. Analiza odhodnih povezav iz vozlišč T2 razkrije, da so ciljni naslovi IP v Združenih državah, Indiji, Mehiki in Venezueli. Poleg vozlišč C2 in T2 strežnik BackConnect (BC) preoblikuje ogrožene bote v posrednike, kar jim omogoča, da služijo različnim zlonamernim dejavnostim. Ta zapletena omrežna arhitektura poudarja QakBot-ova prizadevanja za usmerjanje svojih operacij na več geografskih lokacijah, kar povečuje njegovo sposobnost učinkovitega upravljanja in nadzora okuženih sistemov.
Vozlišča C2 stopnje 2 se v kontekstu kibernetskih groženj in zlonamerne programske opreme nanašajo na vmesno raven infrastrukture za upravljanje in nadzor znotraj večnivojske arhitekture. Sofisticirane vrste zlonamerne programske opreme, kot so QakBot, Emotet in IcedID, pogosto uporabljajo to arhitekturo. Vozlišča C2 stopnje 2 so posredniki med glavnimi strežniki za ukaze in nadzor (stopnja 1) in ogroženimi napravami ali boti (končne točke).
Namen vozlišč stopnje 2 je povečati odpornost in prikritost komunikacijskega omrežja zlonamerne programske opreme. Pomagajo pri distribuciji ukazov in nadzornih signalov iz osrednjih strežnikov C2 v omrežje vozlišč stopnje 2, ki nato ta navodila posredujejo posameznim ogroženim napravam. Ta hierarhična postavitev varnostnim analitikom otežuje sledenje zlonamernim dejavnostim nazaj do glavnih strežnikov C2, s čimer se povečajo možnosti zlonamerne programske opreme, da se izogne odkrivanju in odstranitvi.
Vozlišča stopnje 2 C2 pogosto komunicirajo z ogroženimi napravami z uporabo različnih tehnik, kot so algoritmi za generiranje domene ali omrežja hitrega pretoka, kar dodatno otežuje prizadevanja za blokiranje ali izklop komunikacijskih kanalov zlonamerne programske opreme. Akterji groženj uporabljajo vozlišča stopnje 2 C2, da ohranijo nadzor nad svojimi botneti in olajšajo izvajanje zlonamernih operacij, hkrati pa zmanjšajo tveganja, povezana z neposredno komunikacijo med osrednjim strežnikom in okuženimi napravami.
Izkoriščeni strežniki C2
Najnovejše ugotovitve, ki jih je predstavila ekipa Cymru, poudarjajo omembe vredno zmanjšanje števila obstoječih C2, ki sodelujejo s plastjo T2. Zdaj, ko jih je ostalo samo še osem, je to zmanjšanje delno pripisano dejanjem Black Lotus Labs, ki so maja 2023 ničelno usmerjali infrastrukturo višje ravni. Podjetje je okoli junija opazilo znatno zmanjšanje prometa iz indijskih C2 in skorajšnje izginotje ameriških C2. 2, ki ga povezujejo z ničelnim usmerjanjem sloja T2. Poleg 15 strežnikov C2 je šest že obstoječih strežnikov C2, ki so bili aktivni pred junijem, in dva na novo aktivirana strežnika C2 v juniju kazali nadaljevanje dejavnosti ves julij, tudi po prenehanju dejavnosti pošiljanja neželene pošte.
Nadaljnji pregled podatkov NetFlow prikazuje ponavljajoč se vzorec, kjer povišane odhodne povezave T2 pogosto sledijo skokom v vhodnih povezavah C2 botov. Poleg tega skoki v odhodnih povezavah T2 pogosto sovpadajo s padci aktivnosti bota C2. Ekipa Cymru je poudarila, da QakBot z uporabo žrtev kot infrastrukture C2 s komunikacijo T2 uporabnikom nalaga dvojno breme, najprej z začetnim kompromisom in nato s potencialno škodo njihovemu ugledu, ko je njihov gostitelj javno prepoznan kot zlonameren. Podjetje je poudarilo, da s prekinitvijo komunikacije z zgornjimi strežniki žrtve ne morejo prejeti navodil C2, kar učinkovito ščiti sedanje in prihodnje uporabnike pred ogrožanjem.
O QakBotu
QakBot, znan tudi kot QBot, je zloglasni bančni trojanec in zlonamerna programska oprema za krajo informacij od leta 2007. Cilja predvsem na operacijske sisteme Windows in je zasnovan za krajo občutljivih finančnih podatkov iz okuženih računalnikov, kot so bančne poverilnice, podatki o kreditnih karticah in osebni podatki. QakBot običajno pride prek zlonamernih e-poštnih prilog, povezav ali okuženih spletnih mest. Ko je nameščen v sistemu, se lahko poveže s strežniki za ukazovanje in nadzor (C2), kar hekerjem omogoča nadzor nad okuženim strojem in na daljavo odstrani ukradene podatke. QakBot je v preteklih letih dokazal visoko stopnjo sofisticiranosti in nenehno razvijal svoje tehnike za izogibanje zaznavanju in varnostnim ukrepom. Prav tako se lahko širi prek skupnih omrežij in izkorišča ranljivosti za širjenje znotraj omrežja. Na splošno QakBot predstavlja veliko grožnjo posameznikom in organizacijam zaradi svoje zmožnosti kraje občutljivih informacij in potencialno povzroči finančne izgube.
Operaterji zlonamerne programske opreme QakBot povečajo grožnjo s porastom 15 novih strežnikov C2 posnetkov zaslona
