Operatorët e malware QakBot përforcojnë kërcënimin me një rritje prej 15 serverësh të rinj C2
Në një zhvillim të fundit, grupi që qëndron pas malware-it QakBot (i njohur gjithashtu si QBot) ka krijuar një rrjet të ri prej 15 serverësh komandues dhe kontrolli (C2) deri në fund të qershorit 2023. Ky vëzhgim bazohet në hetimin e vazhdueshëm të malware-it infrastruktura e kryer nga Ekipi Cymru. Çuditërisht, ky zgjerim pason nga afër pas një zbulimi nga Lumen Black Lotus Labs, i cili zbuloi se një e katërta e serverëve të saj C2 mbeten funksionale për vetëm një ditë të vetme, duke hedhur dritë mbi natyrën dinamike dhe të pakapshme të operacioneve të QakBot .
QakBot tradicionalisht shfaq një model të zgjatjes së kohës së ndërprerjes gjatë muajve të verës, zakonisht duke u rishfaqur në shtator. Sipas firmës së sigurisë kibernetike, në vitin aktual, operacionet e saj të spamit u ndaluan afërsisht më 22 qershor 2023. Sidoqoftë, nëse operatorët e QakBot e përdorin këtë kohë joproduktive si pushime apo e përdorin atë për të rafinuar dhe përditësuar infrastrukturën dhe mjetet e tyre, mbetet për t'u parë.
Tabela e Përmbajtjes
Vendosja e infrastrukturës së hollë
Ngjashëm me arkitekturat e vëzhguara në malware Emotet dhe I cedID , rrjeti Command-and-Control (C2) i QakBot shfaq një strukturë me shumë nivele. Brenda kësaj marrëveshjeje, nyjet C2 komunikojnë me nyjet e nivelit më të lartë të nivelit 2 (T2) C2 të pritura në ofruesit e serverëve privatë virtualë (VPS) në Rusi. Shumica e serverëve bot C2, të cilët komunikojnë me hostet e viktimave të komprometuara, janë kryesisht në Shtetet e Bashkuara dhe Indi. Analizimi i lidhjeve dalëse nga nyjet T2 zbulon se adresat IP të destinacionit janë në Shtetet e Bashkuara, Indi, Meksikë dhe Venezuelë. Krahas nyjeve C2 dhe T2, një server BackConnect (BC) i transformon robotët e komprometuar në proxies, duke u mundësuar atyre të shërbejnë aktivitete të ndryshme me qëllim të keq. Kjo arkitekturë e ndërlikuar e rrjetit nënvizon përpjekjet e QakBot për të orkestruar operacionet e tij nëpër vende të shumta gjeografike, duke rritur aftësinë e tij për të menaxhuar dhe kontrolluar në mënyrë efektive sistemet e infektuara.
Nyjet e nivelit 2 C2, në kontekstin e kërcënimeve kibernetike dhe malware, i referohen nivelit të ndërmjetëm të infrastrukturës komanduese dhe kontrolluese brenda një arkitekture me shumë nivele. Llojet e sofistikuara të malware si QakBot, Emotet dhe IcedID shpesh përdorin këtë arkitekturë. Nyjet e nivelit 2 C2 janë ndërmjetës midis serverëve kryesorë të komandës dhe kontrollit (Shteti 1) dhe pajisjeve ose boteve të komprometuara (pikat fundore).
Qëllimi i nyjeve të nivelit 2 është të rrisë qëndrueshmërinë dhe fshehtësinë e rrjetit të komunikimit të malware. Ato ndihmojnë në shpërndarjen e komandave dhe sinjalet e kontrollit nga serverët qendrorë C2 në një rrjet nyjesh të nivelit 2, të cilët më pas i transmetojnë këto udhëzime tek pajisjet individuale të komprometuara. Ky konfigurim hierarkik e bën më të vështirë për analistët e sigurisë që të gjurmojnë aktivitetet keqdashëse në serverët kryesorë C2, duke rritur kështu shanset e malware për të shmangur zbulimin dhe heqjen.
Nyjet e nivelit 2 C2 shpesh komunikojnë me pajisjet e komprometuara duke përdorur teknika të ndryshme, të tilla si algoritmet e gjenerimit të domenit ose rrjetet me fluks të shpejtë, gjë që ndërlikon më tej përpjekjet për të bllokuar ose fikur kanalet e komunikimit të malware. Aktorët e kërcënimit përdorin nyjet e nivelit 2 C2 për të mbajtur kontrollin mbi botnet-et e tyre dhe për të lehtësuar ekzekutimin e operacioneve me qëllim të keq duke minimizuar rreziqet që lidhen me komunikimin e drejtpërdrejtë midis serverit qendror dhe pajisjeve të infektuara.
Serverët C2 të shfrytëzuar
Gjetjet më të fundit të zbuluara nga Team Cymru theksojnë një rënie të dukshme në numërimin e C2-ve ekzistuese që përfshihen me shtresën T2. Tani me vetëm tetë të mbetura, kjo rënie i atribuohet pjesërisht veprimeve të Black Lotus Labs për zhvlerësimin e infrastrukturës së nivelit më të lartë në maj 2023. Kompania vëzhgoi një reduktim të konsiderueshëm të trafikut nga C2 indiane dhe zhdukjen pothuajse të C2-ve amerikane rreth qershorit 2, të cilin ata e lidhin me rrugëzimin e pavlefshëm të shtresës T2. Përveç 15 serverëve C2, gjashtë serverë C2 para-ekzistues aktivë para qershorit dhe dy serverë C2 të sapoaktivizuar në qershor shfaqën aktivitet të vazhdueshëm gjatë gjithë korrikut, edhe pas ndërprerjes së aktiviteteve të spamit.
Shqyrtimi i mëtejshëm i të dhënave NetFlow shfaq një model të përsëritur ku lidhjet e rritura dalëse T2 shpesh ndjekin pikat në lidhjet hyrëse të botit C2. Për më tepër, rritjet në lidhjet dalëse T2 shpesh përkojnë me uljet në aktivitetin e botit C2. Ekipi Cymru theksoi se duke punësuar viktimat si infrastrukturë C2 me komunikimin T2, QakBot imponon një barrë të dyfishtë për përdoruesit, fillimisht përmes kompromisit fillestar dhe më pas përmes dëmtimit të mundshëm të reputacionit të tyre kur hosti i tyre njihet publikisht si keqdashës. Kompania theksoi se duke ndërprerë komunikimet me serverët në rrjedhën e sipërme, viktimat nuk mund të marrin udhëzime C2, duke mbrojtur në mënyrë efektive përdoruesit aktualë dhe të ardhshëm kundër kompromisit.
Rreth QakBot
QakBot, i njohur gjithashtu si QBot, ka qenë një trojan i njohur bankar dhe malware që vjedh informacione që nga viti 2007. Ai synon kryesisht sistemet operative Windows dhe është krijuar për të vjedhur informacione të ndjeshme financiare nga kompjuterët e infektuar, si kredencialet bankare, detajet e kartës së kreditit dhe te dhena Personale. QakBot zakonisht vjen përmes bashkëngjitjeve me qëllim të keq të postës elektronike, lidhjeve ose faqeve të internetit të infektuara. Pasi të instalohet në një sistem, ai mund të lidhet me serverët e komandës dhe kontrollit (C2), duke u mundësuar hakerëve të kontrollojnë makinën e infektuar dhe të nxjerrin të dhënat e vjedhura nga distanca. QakBot ka demonstruar një nivel të lartë sofistikimi gjatë viteve, duke evoluar vazhdimisht teknikat e tij për të shmangur zbulimin dhe masat e sigurisë. Ai gjithashtu mund të përhapet përmes ndarjeve të rrjetit dhe të shfrytëzojë dobësitë për t'u përhapur brenda një rrjeti. Në përgjithësi, QakBot është një kërcënim i rëndësishëm për individët dhe organizatat për shkak të aftësisë së tij për të vjedhur informacione të ndjeshme dhe potencialisht të çojë në humbje financiare.
Operatorët e malware QakBot përforcojnë kërcënimin me një rritje prej 15 serverësh të rinj C2 pamje nga ekrani
