КакБот оператери злонамерног софтвера појачавају претњу уз налет од 15 нових Ц2 сервера
У недавном развоју, група која стоји иза КакБот (такође познатог као КБот) малвера је успоставила нову мрежу од 15 командно-контролних (Ц2) сервера до краја јуна 2023. Ово запажање се заснива на текућој истрази малвера инфраструктуру води Тим Цимру. Занимљиво, ова експанзија помно следи након открића Лумен Блацк Лотус Лабс-а, који је открио да четвртина његових Ц2 сервера остаје оперативна само један дан, бацајући светло на динамичну и неухватљиву природу КакБот -ових операција.
КакБот традиционално показује образац продуженог застоја током летњих месеци, који се обично поново појављује у септембру. У текућој години, његове операције слања нежељене поште заустављене су отприлике 22. јуна 2023, према фирми за сајбер безбедност. Међутим, да ли КакБот оператери користе ово време застоја као одмор или га користе за рафинирање и ажурирање своје инфраструктуре и алата остаје да се види.
Преглед садржаја
Примена изузетне инфраструктуре
Слично архитектури уоченој у Емотет и И цедИД малверу, мрежа за команду и контролу (Ц2) КакБот-а показује вишеслојну структуру. У оквиру овог аранжмана, Ц2 чворови комуницирају са Тиер 2 (Т2) Ц2 чворовима вишег нивоа који се налазе на провајдерима виртуелног приватног сервера (ВПС) у Русији. Већина бот Ц2 сервера, који комуницирају са компромитованим хостовима жртава, првенствено су у Сједињеним Државама и Индији. Анализа излазних веза са Т2 чворова открива да су ИП адресе одредишта у Сједињеним Државама, Индији, Мексику и Венецуели. Поред Ц2 и Т2 чворова, БацкЦоннецт (БЦ) сервер трансформише компромитоване ботове у проксије, омогућавајући им да опслужују различите злонамерне активности. Ова замршена мрежна архитектура наглашава КакБотове напоре да оркестрира своје операције на више географских локација, побољшавајући његову способност да ефикасно управља и контролише заражене системе.
Ниво 2 Ц2 чворови, у контексту сајбер претњи и малвера, односе се на средњи ниво инфраструктуре за команду и контролу у оквиру вишеслојне архитектуре. Софистицирани сојеви малвера као што су КакБот, Емотет и ИцедИД често користе ову архитектуру. Ниво 2 Ц2 чворови су посредници између главних сервера за команду и контролу (Тиер 1) и компромитованих уређаја или ботова (крајњих тачака).
Сврха чворова Тиер 2 је да побољшају отпорност и прикривеност комуникационе мреже малвера. Они помажу у дистрибуцији команди и контролних сигнала са централних Ц2 сервера у мрежу Тиер 2 чворова, који затим прослеђују ова упутства појединачним компромитованим уређајима. Ова хијерархијска поставка отежава безбедносним аналитичарима да прате злонамерне активности до главних Ц2 сервера, чиме се повећавају шансе малвера да избегне откривање и уклањање.
Чворови нивоа 2 Ц2 често комуницирају са компромитованим уређајима користећи различите технике, као што су алгоритми за генерисање домена или мреже брзог протока, што додатно компликује напоре да се блокирају или искључе комуникациони канали малвера. Актери претњи користе Тиер 2 Ц2 чворове како би задржали контролу над својим бонет мрежама и олакшали извршење злонамерних операција док минимизирају ризике повезане са директном комуникацијом између централног сервера и заражених уређаја.
Ц2 сервери су експлоатисани
Најновији налази које је открио Тим Цимру истичу значајан пад у броју постојећих Ц2 који се баве Т2 слојем. Сада, са само осам преосталих, ово смањење се делимично приписује акцијама Блацк Лотус Лабс-а на нултом рутирању инфраструктуре вишег нивоа у мају 2023. Компанија је приметила значајно смањење саобраћаја са индијских Ц2 и скоро нестанак америчких Ц2 око јуна 2, који повезују са нултом рутирањем Т2 слоја. Поред 15 Ц2 сервера, шест постојећих Ц2 сервера активних пре јуна и два новоактивирана Ц2 сервера у јуну су показивали континуирану активност током јула, чак и након престанка активности слања нежељене поште.
Даље испитивање НетФлов података показује понављајући образац где повећане излазне Т2 везе често прате скокове у улазним Ц2 везама за бот. Поред тога, скокови у излазним Т2 везама често се поклапају са падовима активности бот Ц2. Тим Цимру је истакао да коришћењем жртава као Ц2 инфраструктуре са Т2 комуникацијом, КакБот намеће двоструко оптерећење корисницима, прво кроз почетни компромис, а затим кроз потенцијалну штету по њихову репутацију када је њихов хост јавно препознат као злонамерни. Компанија је нагласила да прекидањем комуникације са упстреам серверима, жртве не могу да добију Ц2 упутства, ефикасно штитећи садашње и будуће кориснике од компромиса.
О КакБоту
КакБот, такође познат као КБот, је озлоглашени банкарски тројанац и малвер за крађу информација од око 2007. Он првенствено циља на Виндовс оперативне системе и дизајниран је да украде осетљиве финансијске информације са заражених рачунара, као што су банкарски акредитиви, подаци о кредитној картици и лични подаци. КакБот обично долази преко злонамерних прилога е-поште, веза или заражених веб локација. Једном инсталиран на систему, може се повезати са серверима за команду и контролу (Ц2), омогућавајући хакерима да контролишу заражену машину и даљински ексфилтрирају украдене податке. КакБот је показао висок ниво софистицираности током година, непрестано развијајући своје технике како би избегао детекцију и мере безбедности. Такође се може ширити преко мрежних дељења и искористити рањивости за ширење унутар мреже. Све у свему, КакБот представља значајну претњу појединцима и организацијама због своје способности да украде осетљиве информације и потенцијално доведе до финансијских губитака.
КакБот оператери злонамерног софтвера појачавају претњу уз налет од 15 нових Ц2 сервера снимака екрана
