QakBot Malware-operatörer förstärker hotet med 15 nya C2-servrar

I en ny utveckling har gruppen bakom skadlig programvara QakBot (även känd som QBot) etablerat ett nytt nätverk av 15 kommando-och-kontrollservrar (C2) i slutet av juni 2023. Denna observation bygger på den pågående undersökningen av skadlig programvaras infrastruktur utförd av Team Cymru. Anmärkningsvärt nog följer den här expansionen tätt efter en avslöjande från Lumen Black Lotus Labs, som avslöjade att en fjärdedel av dess C2-servrar förblir i drift under bara en enda dag, vilket kastar ljus över den dynamiska och svårfångade naturen hos QakBots verksamhet.

QakBot uppvisar traditionellt ett mönster av förlängda stillestånd under sommarmånaderna, som vanligtvis återuppstår i september. Under innevarande år stoppades skräppostverksamheten ungefär den 22 juni 2023, enligt cybersäkerhetsföretaget. Huruvida QakBot-operatörerna använder denna stilleståndstid som en semester eller använder den för att förfina och uppdatera sin infrastruktur och verktyg återstår att se.

Installera utsökt infrastruktur

I likhet med de arkitekturer som observeras i Emotet och IcedID malware, uppvisar Command-and-Control-nätverket (C2) för QakBot en struktur i flera nivåer. Inom detta arrangemang kommunicerar C2-noderna med högre nivå Tier 2 (T2) C2-noder som är värd för virtuella privata servrar (VPS) i Ryssland. De flesta bot C2-servrar, som kommunicerar med de utsatta offervärdarna, finns främst i USA och Indien. En analys av de utgående anslutningarna från T2-noder visar att destinationens IP-adresser finns i USA, Indien, Mexiko och Venezuela. Vid sidan av C2- och T2-noderna omvandlar en BackConnect-server (BC) de komprometterade botarna till proxyservrar, vilket gör det möjligt för dem att betjäna olika skadliga aktiviteter. Denna invecklade nätverksarkitektur understryker QakBots ansträngningar att organisera sin verksamhet över flera geografiska platser, vilket förbättrar dess förmåga att effektivt hantera och kontrollera infekterade system.

Tier 2 C2-noder, i samband med cyberhot och skadlig programvara, hänvisar till mellannivån för kommando-och-kontrollinfrastruktur inom en arkitektur med flera nivåer. Sofistikerade skadliga stammar som QakBot, Emotet och IcedID använder ofta denna arkitektur. Tier 2 C2-noder är mellanhänder mellan de viktigaste kommando- och kontrollservrarna (Tier 1) och de komprometterade enheterna eller botarna (endpoints).

Syftet med Tier 2-noder är att förbättra motståndskraften och smygandet av skadlig programvaras kommunikationsnätverk. De hjälper till att distribuera kommandon och styrsignaler från de centrala C2-servrarna till ett nätverk av Tier 2-noder, som sedan vidarebefordrar dessa instruktioner till de individuella komprometterade enheterna. Denna hierarkiska inställning gör det svårare för säkerhetsanalytiker att spåra de skadliga aktiviteterna tillbaka till de viktigaste C2-servrarna, vilket ökar risken för skadlig programvara att undvika upptäckt och borttagningar.

Tier 2 C2-noder kommunicerar ofta med de komprometterade enheterna med hjälp av olika tekniker, såsom domängenereringsalgoritmer eller snabbflödesnätverk, vilket ytterligare komplicerar ansträngningarna att blockera eller stänga av skadlig programvaras kommunikationskanaler. Hotaktörer använder Tier 2 C2-noder för att behålla kontrollen över sina botnät och underlätta utförandet av skadliga operationer samtidigt som de minimerar riskerna förknippade med direkt kommunikation mellan den centrala servern och de infekterade enheterna.

C2-servrar utnyttjas

De senaste fynden som Team Cymru avslöjade visar på en anmärkningsvärd minskning av antalet befintliga C2:er som samverkar med T2-lagret. Nu med endast åtta kvar, hänförs denna minskning delvis till Black Lotus Labs åtgärder för att null-routa infrastrukturen på högre nivå i maj 2023. Företaget observerade en avsevärd minskning av trafiken från indiska C2:or och det nästan försvinnande av amerikanska C2:or runt juni 2, som de associerar med null-routing av T2-lagret. Utöver de 15 C2-servrarna visade sex redan existerande C2-servrar som var aktiva före juni och två nyligen aktiverade C2-servrar i juni fortsatt aktivitet under hela juli, även efter att spamaktiviteterna upphört.

Ytterligare granskning av NetFlow-data visar ett återkommande mönster där förhöjda utgående T2-anslutningar ofta följer toppar i inkommande bot C2-anslutningar. Dessutom sammanfaller ökningar i utgående T2-anslutningar ofta med nedgångar i bot C2-aktivitet. Team Cymru betonade att genom att använda offer som C2-infrastruktur med T2-kommunikation, lägger QakBot en dubbel börda på användarna, först genom den första kompromissen och sedan genom den potentiella skadan på deras rykte när deras värd offentligt erkänns som skadlig. Företaget betonade att genom att avbryta kommunikationen med uppströmsservrar kan offer inte ta emot C2-instruktioner, vilket effektivt skyddar nuvarande och framtida användare mot kompromisser.

Om QakBot

QakBot, även känd som QBot, har varit en ökänd banktrojan och informationsstöld skadlig programvara sedan omkring 2007. Den riktar sig främst till Windows-operativsystem och är utformad för att stjäla känslig finansiell information från infekterade datorer, såsom bankuppgifter, kreditkortsuppgifter och personlig information. QakBot kommer vanligtvis via skadliga e-postbilagor, länkar eller infekterade webbplatser. När den väl har installerats på ett system kan den ansluta till kommando-och-kontroll-servrar (C2), vilket gör det möjligt för hackare att kontrollera den infekterade maskinen och exfiltrera stulen data på distans. QakBot har visat en hög nivå av sofistikering genom åren, och ständigt utvecklat sina tekniker för att undvika upptäckt och säkerhetsåtgärder. Det kan också spridas via nätverksresurser och utnyttja sårbarheter för att spridas inom ett nätverk. Sammantaget är QakBot ett betydande hot mot individer och organisationer på grund av dess förmåga att stjäla känslig information och potentiellt leda till ekonomiska förluster.

QakBot Malware-operatörer förstärker hotet med 15 nya C2-servrar skärmdumpar