QakBot మాల్వేర్ ఆపరేటర్లు 15 కొత్త C2 సర్వర్ల పెరుగుదలతో ముప్పును విస్తరించారు
ఇటీవలి అభివృద్ధిలో, QakBot (QBot అని కూడా పిలుస్తారు) మాల్వేర్ వెనుక ఉన్న సమూహం జూన్ 2023 చివరి నాటికి 15 కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ల యొక్క తాజా నెట్వర్క్ను ఏర్పాటు చేసింది. ఈ పరిశీలన మాల్వేర్ యొక్క కొనసాగుతున్న పరిశోధన ఆధారంగా రూపొందించబడింది. టీమ్ సిమ్రూ నిర్వహించిన మౌలిక సదుపాయాలు. విశేషమేమిటంటే, లూమెన్ బ్లాక్ లోటస్ ల్యాబ్స్ వెల్లడించిన తర్వాత ఈ విస్తరణ చాలా దగ్గరగా ఉంది, దాని C2 సర్వర్లలో నాలుగింట ఒక వంతు కేవలం ఒకే రోజు మాత్రమే పనిచేస్తుందని, QakBot యొక్క కార్యకలాపాల యొక్క డైనమిక్ మరియు అంతుచిక్కని స్వభావంపై వెలుగునిస్తుంది.
QakBot సాంప్రదాయకంగా వేసవి నెలలలో పొడిగించిన పనికిరాని సమయాన్ని ప్రదర్శిస్తుంది, సాధారణంగా సెప్టెంబరులో మళ్లీ తెరపైకి వస్తుంది. సైబర్ సెక్యూరిటీ సంస్థ ప్రకారం, ప్రస్తుత సంవత్సరంలో, దాని స్పామింగ్ కార్యకలాపాలు దాదాపు జూన్ 22, 2023న ఆగిపోయాయి. అయితే, QakBot ఆపరేటర్లు ఈ పనికిరాని సమయాన్ని సెలవుగా ఉపయోగించుకుంటారా లేదా వారి మౌలిక సదుపాయాలు మరియు సాధనాలను మెరుగుపరచడానికి మరియు నవీకరించడానికి ఉపయోగించుకుంటారా అనేది చూడాల్సి ఉంది.
విషయ సూచిక
సున్నితమైన మౌలిక సదుపాయాలను అమలు చేస్తోంది
Emotet మరియు I cedID మాల్వేర్లో గమనించిన నిర్మాణాల మాదిరిగానే, QakBot యొక్క కమాండ్-అండ్-కంట్రోల్ (C2) నెట్వర్క్ బహుళ-స్థాయి నిర్మాణాన్ని ప్రదర్శిస్తుంది. ఈ అమరికలో, C2 నోడ్లు రష్యాలోని వర్చువల్ ప్రైవేట్ సర్వర్ (VPS) ప్రొవైడర్లలో హోస్ట్ చేయబడిన ఉన్నత-స్థాయి టైర్ 2 (T2) C2 నోడ్లతో కమ్యూనికేట్ చేస్తాయి. రాజీపడిన బాధితుల హోస్ట్లతో కమ్యూనికేట్ చేసే చాలా బోట్ C2 సర్వర్లు ప్రధానంగా యునైటెడ్ స్టేట్స్ మరియు ఇండియాలో ఉన్నాయి. T2 నోడ్ల నుండి అవుట్బౌండ్ కనెక్షన్లను విశ్లేషించడం ద్వారా డెస్టినేషన్ IP చిరునామాలు యునైటెడ్ స్టేట్స్, ఇండియా, మెక్సికో మరియు వెనిజులాలో ఉన్నాయని తెలుస్తుంది. C2 మరియు T2 నోడ్లతో పాటు, బ్యాక్కనెక్ట్ (BC) సర్వర్ రాజీపడిన బాట్లను ప్రాక్సీలుగా మారుస్తుంది, వాటిని వివిధ హానికరమైన కార్యకలాపాలను అందించడానికి వీలు కల్పిస్తుంది. ఈ క్లిష్టమైన నెట్వర్క్ ఆర్కిటెక్చర్ అనేక భౌగోళిక ప్రదేశాలలో దాని కార్యకలాపాలను నిర్వహించడానికి QakBot యొక్క ప్రయత్నాలను నొక్కి చెబుతుంది, సోకిన సిస్టమ్లను సమర్థవంతంగా నిర్వహించే మరియు నియంత్రించే దాని సామర్థ్యాన్ని మెరుగుపరుస్తుంది.
టైర్ 2 C2 నోడ్లు, సైబర్ బెదిరింపులు మరియు మాల్వేర్ సందర్భంలో, మల్టీ-టైర్డ్ ఆర్కిటెక్చర్లోని కమాండ్-అండ్-కంట్రోల్ ఇన్ఫ్రాస్ట్రక్చర్ యొక్క ఇంటర్మీడియట్ స్థాయిని సూచిస్తాయి. QakBot, Emotet మరియు IcedID వంటి అధునాతన మాల్వేర్ జాతులు తరచుగా ఈ నిర్మాణాన్ని ఉపయోగిస్తాయి. టైర్ 2 C2 నోడ్లు ప్రధాన కమాండ్-అండ్-కంట్రోల్ సర్వర్లు (టైర్ 1) మరియు రాజీపడిన పరికరాలు లేదా బాట్లు (ఎండ్ పాయింట్లు) మధ్య మధ్యవర్తులు.
టైర్ 2 నోడ్స్ యొక్క ఉద్దేశ్యం మాల్వేర్ కమ్యూనికేషన్ నెట్వర్క్ యొక్క స్థితిస్థాపకత మరియు రహస్యాన్ని మెరుగుపరచడం. అవి సెంట్రల్ C2 సర్వర్ల నుండి టైర్ 2 నోడ్ల నెట్వర్క్కు ఆదేశాలను మరియు నియంత్రణ సిగ్నల్లను పంపిణీ చేయడంలో సహాయపడతాయి, ఇవి ఈ సూచనలను వ్యక్తిగత రాజీపడిన పరికరాలకు ప్రసారం చేస్తాయి. ఈ క్రమానుగత సెటప్ భద్రతా విశ్లేషకులకు హానికరమైన కార్యకలాపాలను తిరిగి ప్రధాన C2 సర్వర్లలో గుర్తించడం కష్టతరం చేస్తుంది, తద్వారా మాల్వేర్ గుర్తింపు మరియు తొలగింపులను తప్పించుకునే అవకాశాలను పెంచుతుంది.
టైర్ 2 C2 నోడ్లు తరచుగా డొమైన్ జనరేషన్ అల్గారిథమ్లు లేదా ఫాస్ట్-ఫ్లక్స్ నెట్వర్క్ల వంటి వివిధ సాంకేతికతలను ఉపయోగించి రాజీపడిన పరికరాలతో కమ్యూనికేట్ చేస్తాయి, ఇది మాల్వేర్ కమ్యూనికేషన్ ఛానెల్లను బ్లాక్ చేయడానికి లేదా ఆఫ్ చేయడానికి ప్రయత్నాలను మరింత క్లిష్టతరం చేస్తుంది. బెదిరింపు నటులు తమ బోట్నెట్లపై నియంత్రణను కొనసాగించడానికి టైర్ 2 C2 నోడ్లను ఉపయోగిస్తారు మరియు సెంట్రల్ సర్వర్ మరియు సోకిన పరికరాల మధ్య ప్రత్యక్ష కమ్యూనికేషన్తో సంబంధం ఉన్న ప్రమాదాలను తగ్గించేటప్పుడు హానికరమైన కార్యకలాపాల అమలును సులభతరం చేస్తారు.
C2 సర్వర్లు దోపిడీ చేయబడ్డాయి
టీమ్ సిమ్రూ ద్వారా ఇటీవల కనుగొనబడిన ఫలితాలు T2 లేయర్తో సంబంధం ఉన్న ప్రస్తుత C2ల గణనలో గణనీయమైన క్షీణతను హైలైట్ చేస్తాయి. ఇప్పుడు కేవలం ఎనిమిది మాత్రమే మిగిలి ఉండగా, మే 2023లో హై-టైర్ ఇన్ఫ్రాస్ట్రక్చర్ను శూన్య-రౌటింగ్ చేసే బ్లాక్ లోటస్ ల్యాబ్ల చర్యల కారణంగా ఈ తగ్గుదల కొంతవరకు ఆపాదించబడింది. కంపెనీ భారతీయ C2ల నుండి ట్రాఫిక్లో గణనీయమైన తగ్గుదలని మరియు జూన్ నాటికి US C2లు దాదాపుగా అదృశ్యమవడాన్ని గమనించింది. 2, వారు T2 లేయర్ను శూన్య-రౌటింగ్తో అనుబంధిస్తారు. 15 C2 సర్వర్లతో పాటు, జూన్కు ముందు క్రియాశీలంగా ఉన్న ఆరు C2 సర్వర్లు మరియు జూన్లో కొత్తగా యాక్టివేట్ చేయబడిన రెండు C2 సర్వర్లు స్పామింగ్ కార్యకలాపాలను నిలిపివేసిన తర్వాత కూడా జూలై అంతటా నిరంతర కార్యాచరణను ప్రదర్శించాయి.
నెట్ఫ్లో డేటా యొక్క తదుపరి పరిశీలన పునరావృత నమూనాను ప్రదర్శిస్తుంది, ఇక్కడ అధిక అవుట్బౌండ్ T2 కనెక్షన్లు తరచుగా ఇన్బౌండ్ బాట్ C2 కనెక్షన్లలో స్పైక్లను అనుసరిస్తాయి. అదనంగా, అవుట్బౌండ్ T2 కనెక్షన్లలో సర్జ్లు తరచుగా బాట్ C2 యాక్టివిటీలో డిప్లతో సమానంగా ఉంటాయి. T2 కమ్యూనికేషన్తో బాధితులను C2 ఇన్ఫ్రాస్ట్రక్చర్గా ఉపయోగించుకోవడం ద్వారా, QakBot వినియోగదారులపై ద్వంద్వ భారాన్ని మోపుతుందని టీమ్ Cymru హైలైట్ చేసింది, మొదట ప్రారంభ రాజీ ద్వారా ఆపై వారి హోస్ట్ హానికరమైనదిగా బహిరంగంగా గుర్తించబడినప్పుడు వారి ప్రతిష్టకు హాని కలిగించవచ్చు. అప్స్ట్రీమ్ సర్వర్లతో కమ్యూనికేషన్లను విడదీయడం ద్వారా, బాధితులు C2 సూచనలను అందుకోలేరని, ప్రస్తుత మరియు భవిష్యత్తు వినియోగదారులను రాజీకి వ్యతిరేకంగా సమర్థవంతంగా రక్షిస్తారని కంపెనీ నొక్కి చెప్పింది.
QakBot గురించి
QBot అని కూడా పిలువబడే QakBot, 2007 నుండి ఒక అపఖ్యాతి పాలైన బ్యాంకింగ్ ట్రోజన్ మరియు సమాచారాన్ని దొంగిలించే మాల్వేర్. ఇది ప్రాథమికంగా Windows ఆపరేటింగ్ సిస్టమ్లను లక్ష్యంగా చేసుకుంటుంది మరియు బ్యాంకింగ్ ఆధారాలు, క్రెడిట్ కార్డ్ వివరాలు మరియు సోకిన కంప్యూటర్ల నుండి సున్నితమైన ఆర్థిక సమాచారాన్ని దొంగిలించడానికి రూపొందించబడింది. వ్యక్తిగత సమాచారం. QakBot సాధారణంగా హానికరమైన ఇమెయిల్ జోడింపులు, లింక్లు లేదా సోకిన వెబ్సైట్ల ద్వారా వస్తుంది. సిస్టమ్లో ఇన్స్టాల్ చేసిన తర్వాత, ఇది కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్లతో కనెక్ట్ చేయగలదు, హ్యాకర్లు సోకిన యంత్రాన్ని నియంత్రించడానికి మరియు దొంగిలించబడిన డేటాను రిమోట్గా వెలికితీయడానికి వీలు కల్పిస్తుంది. QakBot సంవత్సరాలుగా ఉన్నత స్థాయి అధునాతనతను ప్రదర్శించింది, గుర్తింపు మరియు భద్రతా చర్యల నుండి తప్పించుకోవడానికి దాని సాంకేతికతలను నిరంతరం అభివృద్ధి చేస్తుంది. ఇది నెట్వర్క్ షేర్ల ద్వారా కూడా వ్యాప్తి చెందుతుంది మరియు నెట్వర్క్లో ప్రచారం చేయడానికి దుర్బలత్వాలను ఉపయోగించుకోవచ్చు. మొత్తంమీద, QakBot అనేది సున్నితమైన సమాచారాన్ని దొంగిలించే సామర్థ్యం మరియు ఆర్థిక నష్టాలకు దారితీసే సామర్థ్యం కారణంగా వ్యక్తులు మరియు సంస్థలకు ముఖ్యమైన ముప్పు.
QakBot మాల్వేర్ ఆపరేటర్లు 15 కొత్త C2 సర్వర్ల పెరుగుదలతో ముప్పును విస్తరించారు స్క్రీన్షాట్లు
