ผู้ให้บริการมัลแวร์ QakBot ขยายภัยคุกคามด้วยเซิร์ฟเวอร์ C2 ใหม่ 15 เครื่อง

ในการพัฒนาเมื่อเร็วๆ นี้ กลุ่มที่อยู่เบื้องหลังมัลแวร์ QakBot (หรือที่เรียกว่า QBot) ได้สร้างเครือข่ายใหม่ของเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) 15 เครื่องภายในสิ้นเดือนมิถุนายน 2566 ข้อสังเกตนี้สร้างขึ้นจากการตรวจสอบอย่างต่อเนื่องของมัลแวร์ โครงสร้างพื้นฐานที่ดำเนินการโดย Team Cymru การขยายตัวนี้ตามมาอย่างใกล้ชิดหลังจากการเปิดเผยโดย Lumen Black Lotus Labs ซึ่งเปิดเผยว่าหนึ่งในสี่ของเซิร์ฟเวอร์ C2 ยังคงใช้งานได้เพียงวันเดียว ทำให้กระจ่างเกี่ยวกับลักษณะการทำงานของ QakBot แบบไดนามิกและเข้าใจยาก

ตามเนื้อผ้า QakBot จะแสดงรูปแบบของการหยุดทำงานที่เพิ่มขึ้นในช่วงฤดูร้อน ซึ่งโดยทั่วไปจะกลับมาปรากฏอีกครั้งในเดือนกันยายน ในปีปัจจุบัน การดำเนินการสแปมได้หยุดลงประมาณวันที่ 22 มิถุนายน พ.ศ. 2566 ตามรายงานของบริษัทความปลอดภัยทางไซเบอร์ อย่างไรก็ตาม ไม่ว่าผู้ให้บริการ QakBot จะใช้เวลาหยุดทำงานนี้เป็นการพักผ่อนหรือใช้เพื่อปรับแต่งและอัปเดตโครงสร้างพื้นฐานและเครื่องมือของพวกเขาก็ตาม

ปรับใช้โครงสร้างพื้นฐานที่สวยงาม

เช่นเดียวกับสถาปัตยกรรมที่พบใน Emotet และ I cedID มัลแวร์ เครือข่าย Command-and-Control (C2) ของ QakBot แสดงโครงสร้างแบบหลายชั้น ภายในข้อตกลงนี้ โหนด C2 จะสื่อสารกับโหนด C2 ระดับ Tier 2 (T2) ที่สูงกว่าซึ่งโฮสต์บนผู้ให้บริการเซิร์ฟเวอร์ส่วนตัวเสมือน (VPS) ในรัสเซีย เซิร์ฟเวอร์ bot C2 ส่วนใหญ่ซึ่งสื่อสารกับโฮสต์ของเหยื่อที่ถูกบุกรุก ส่วนใหญ่อยู่ในสหรัฐอเมริกาและอินเดีย การวิเคราะห์การเชื่อมต่อขาออกจากโหนด T2 พบว่าที่อยู่ IP ปลายทางอยู่ในสหรัฐอเมริกา อินเดีย เม็กซิโก และเวเนซุเอลา ควบคู่ไปกับโหนด C2 และ T2 เซิร์ฟเวอร์ BackConnect (BC) แปลงบอทที่ถูกบุกรุกให้เป็นพร็อกซี ทำให้สามารถให้บริการกิจกรรมที่เป็นอันตรายต่างๆ ได้ สถาปัตยกรรมเครือข่ายที่ซับซ้อนนี้เน้นย้ำถึงความพยายามของ QakBot ในการควบคุมการดำเนินงานในสถานที่ทางภูมิศาสตร์หลายแห่ง ซึ่งช่วยเพิ่มความสามารถในการจัดการและควบคุมระบบที่ติดไวรัสได้อย่างมีประสิทธิภาพ

โหนด C2 ระดับ 2 ในบริบทของภัยคุกคามทางไซเบอร์และมัลแวร์ หมายถึงโครงสร้างพื้นฐานคำสั่งและการควบคุมระดับกลางภายในสถาปัตยกรรมแบบหลายชั้น สายพันธุ์มัลแวร์ที่ซับซ้อน เช่น QakBot, Emotet และ IcedID มักจะใช้สถาปัตยกรรมนี้ โหนด C2 ระดับ 2 เป็นตัวกลางระหว่างเซิร์ฟเวอร์คำสั่งและควบคุมหลัก (ระดับ 1) และอุปกรณ์หรือบอทที่ถูกบุกรุก (จุดสิ้นสุด)

จุดประสงค์ของโหนดระดับ 2 คือเพื่อเพิ่มความยืดหยุ่นและการลักลอบของเครือข่ายการสื่อสารของมัลแวร์ พวกเขาช่วยกระจายคำสั่งและสัญญาณควบคุมจากเซิร์ฟเวอร์ C2 กลางไปยังเครือข่ายของโหนดระดับ 2 ซึ่งจะถ่ายทอดคำสั่งเหล่านี้ไปยังอุปกรณ์แต่ละเครื่องที่ถูกบุกรุก การตั้งค่าแบบลำดับชั้นนี้ทำให้นักวิเคราะห์ด้านความปลอดภัยติดตามกิจกรรมที่เป็นอันตรายกลับไปยังเซิร์ฟเวอร์ C2 หลักได้ยากขึ้น ซึ่งจะเป็นการเพิ่มโอกาสของมัลแวร์ในการหลบเลี่ยงการตรวจจับและการลบออก

โหนด Tier 2 C2 มักจะสื่อสารกับอุปกรณ์ที่ถูกบุกรุกโดยใช้เทคนิคต่างๆ เช่น อัลกอริทึมการสร้างโดเมนหรือเครือข่าย fast-flux ซึ่งทำให้ความพยายามในการบล็อกหรือปิดช่องทางการสื่อสารของมัลแวร์ซับซ้อนยิ่งขึ้น ผู้คุกคามใช้โหนด C2 ระดับ 2 เพื่อรักษาการควบคุมบ็อตเน็ตและอำนวยความสะดวกในการดำเนินการที่เป็นอันตราย ในขณะที่ลดความเสี่ยงที่เกี่ยวข้องกับการสื่อสารโดยตรงระหว่างเซิร์ฟเวอร์กลางและอุปกรณ์ที่ติดไวรัส

เซิร์ฟเวอร์ C2 ใช้ประโยชน์

การค้นพบล่าสุดที่เปิดเผยโดย Team Cymru เน้นการลดลงอย่างน่าสังเกตของจำนวน C2 ที่มีอยู่ซึ่งมีส่วนร่วมกับเลเยอร์ T2 ขณะนี้เหลืออยู่เพียงแปดรายการ การลดลงนี้ส่วนหนึ่งเป็นผลมาจากการกระทำของ Black Lotus Labs ในการกำหนดเส้นทางเป็นโมฆะให้กับโครงสร้างพื้นฐานระดับสูงกว่าในเดือนพฤษภาคม 2566 บริษัทสังเกตเห็นการลดลงอย่างมากของการรับส่งข้อมูลจาก C2 ของอินเดียและการหายไปของ C2 ในสหรัฐฯ ประมาณเดือนมิถุนายน 2 ซึ่งเชื่อมโยงกับการกำหนดเส้นทาง null เลเยอร์ T2 นอกจากเซิร์ฟเวอร์ C2 15 เซิร์ฟเวอร์แล้ว เซิร์ฟเวอร์ C2 ที่มีอยู่ก่อนแล้ว 6 เซิร์ฟเวอร์ที่ใช้งานก่อนเดือนมิถุนายน และเซิร์ฟเวอร์ C2 ที่เพิ่งเปิดใช้งานใหม่ 2 เซิร์ฟเวอร์ในเดือนมิถุนายนยังแสดงกิจกรรมอย่างต่อเนื่องตลอดเดือนกรกฎาคม แม้ว่ากิจกรรมสแปมจะยุติไปแล้วก็ตาม

การตรวจสอบเพิ่มเติมของข้อมูล NetFlow จะแสดงรูปแบบที่เกิดซ้ำซึ่งการเชื่อมต่อ T2 ขาออกที่เพิ่มสูงขึ้นมักจะเป็นไปตามการพุ่งสูงขึ้นในการเชื่อมต่อ C2 บอทขาเข้า นอกจากนี้ การกระชากในการเชื่อมต่อ T2 ขาออกมักจะเกิดขึ้นพร้อมกับการลดลงของกิจกรรมของบอท C2 Team Cymru เน้นย้ำว่าการใช้เหยื่อเป็นโครงสร้างพื้นฐาน C2 พร้อมการสื่อสาร T2 ทำให้ QakBot สร้างภาระสองทางแก่ผู้ใช้ ขั้นแรกผ่านการประนีประนอมครั้งแรก และจากนั้นจึงทำอันตรายต่อชื่อเสียงเมื่อโฮสต์ของพวกเขาเป็นที่รู้จักต่อสาธารณชนว่าเป็นอันตราย บริษัทย้ำว่าการตัดการสื่อสารกับเซิร์ฟเวอร์อัพสตรีม ทำให้ผู้ที่ตกเป็นเหยื่อไม่สามารถรับคำสั่ง C2 ได้ ซึ่งจะช่วยปกป้องผู้ใช้ในปัจจุบันและอนาคตจากการถูกโจมตีได้อย่างมีประสิทธิภาพ

เกี่ยวกับ QakBot

QakBot หรือที่เรียกว่า QBot เป็นโทรจันธนาคารและมัลแวร์ขโมยข้อมูลที่มีชื่อเสียงมาตั้งแต่ปี 2550 โดยมุ่งเป้าที่ระบบปฏิบัติการ Windows เป็นหลัก และออกแบบมาเพื่อขโมยข้อมูลทางการเงินที่ละเอียดอ่อนจากคอมพิวเตอร์ที่ติดไวรัส เช่น ข้อมูลรับรองธนาคาร รายละเอียดบัตรเครดิต และ ข้อมูลส่วนบุคคล. QakBot มักจะมาจากไฟล์แนบอีเมล ลิงก์ หรือเว็บไซต์ที่ติดไวรัส เมื่อติดตั้งบนระบบแล้ว มันสามารถเชื่อมต่อกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ทำให้แฮ็กเกอร์สามารถควบคุมเครื่องที่ติดไวรัสและกรองข้อมูลที่ถูกขโมยจากระยะไกล QakBot ได้แสดงให้เห็นถึงความซับซ้อนระดับสูงในช่วงหลายปีที่ผ่านมา โดยพัฒนาเทคนิคอย่างต่อเนื่องเพื่อหลบเลี่ยงการตรวจจับและมาตรการรักษาความปลอดภัย นอกจากนี้ยังสามารถแพร่กระจายผ่านการแชร์เครือข่ายและใช้ประโยชน์จากช่องโหว่เพื่อเผยแพร่ภายในเครือข่าย โดยรวมแล้ว QakBot เป็นภัยคุกคามที่สำคัญต่อบุคคลและองค์กรเนื่องจากความสามารถในการขโมยข้อมูลที่ละเอียดอ่อนและอาจนำไปสู่การสูญเสียทางการเงิน

ผู้ให้บริการมัลแวร์ QakBot ขยายภัยคุกคามด้วยเซิร์ฟเวอร์ C2 ใหม่ 15 เครื่อง ภาพหน้าจอ