Ang mga Operator ng QakBot Malware ay Nagpapalakas ng Banta sa Pagdagsa ng 15 Bagong C2 Server

Sa isang kamakailang pag-unlad, ang grupo sa likod ng QakBot (kilala rin bilang QBot) malware ay nagtatag ng bagong network ng 15 command-and-control (C2) server sa katapusan ng Hunyo 2023. Ang obserbang ito ay nabuo sa patuloy na pagsisiyasat sa malware ng imprastraktura na isinagawa ng Team Cymru. Kapansin-pansin, ang pagpapalawak na ito ay sumusunod nang malapit pagkatapos ng paghahayag ng Lumen Black Lotus Labs, na nagsiwalat na ang isang-kapat ng mga C2 server nito ay nananatiling gumagana sa loob lamang ng isang araw, na nagbibigay-liwanag sa pabago-bago at mailap na katangian ng mga operasyon ng QakBot .

Tradisyunal na nagpapakita ang QakBot ng pattern ng pinahabang downtime sa mga buwan ng tag-araw, na karaniwang muling lumalabas sa Setyembre. Sa kasalukuyang taon, humigit-kumulang noong Hunyo 22, 2023 ang mga operasyon ng spamming nito, ayon sa cybersecurity firm. Gayunpaman, kung ginagamit ng mga operator ng QakBot ang downtime na ito bilang isang bakasyon o gamitin ito para sa pagpino at pag-update ng kanilang imprastraktura at mga tool ay nananatiling makikita.

Naglalatag ng Napakagandang Imprastraktura

Katulad ng mga arkitektura na naobserbahan sa Emotet at I cedID malware, ang Command-and-Control (C2) network ng QakBot ay nagpapakita ng isang multi-tiered na istraktura. Sa loob ng kaayusan na ito, nakikipag-ugnayan ang mga C2 node sa mas mataas na antas ng Tier 2 (T2) C2 node na naka-host sa mga virtual private server (VPS) provider sa Russia. Karamihan sa mga bot C2 server, na nakikipag-ugnayan sa mga nakompromisong host ng biktima, ay pangunahin sa United States at India. Ang pagsusuri sa mga papalabas na koneksyon mula sa mga T2 node ay nagpapakita na ang mga patutunguhang IP address ay nasa United States, India, Mexico, at Venezuela. Sa tabi ng C2 at T2 node, binabago ng isang BackConnect (BC) server ang mga nakompromisong bot upang maging mga proxy, na nagbibigay-daan sa kanila na maghatid ng iba't ibang malisyosong aktibidad. Binibigyang-diin ng masalimuot na arkitektura ng network na ito ang mga pagsisikap ng QakBot na ayusin ang mga operasyon nito sa maraming heyograpikong lokasyon, na nagpapahusay sa kakayahan nitong epektibong pamahalaan at kontrolin ang mga nahawaang sistema.

Ang Tier 2 C2 node, sa konteksto ng mga cyber threat at malware, ay tumutukoy sa intermediate level ng command-and-control na imprastraktura sa loob ng isang multi-tiered na arkitektura. Ang mga sopistikadong strain ng malware tulad ng QakBot, Emotet, at IcedID ay kadalasang gumagamit ng ganitong arkitektura. Ang Tier 2 C2 node ay mga tagapamagitan sa pagitan ng pangunahing command-and-control server (Tier 1) at ng mga nakompromisong device o bot (endpoints).

Ang layunin ng Tier 2 node ay pahusayin ang katatagan at pagiging lihim ng network ng komunikasyon ng malware. Tumutulong sila na ipamahagi ang mga command at kontrolin ang mga signal mula sa mga central C2 server sa isang network ng mga Tier 2 node, na pagkatapos ay i-relay ang mga tagubiling ito sa mga indibidwal na nakompromisong device. Ang hierarchical setup na ito ay nagpapahirap para sa mga security analyst na masubaybayan ang mga nakakahamak na aktibidad pabalik sa mga pangunahing C2 server, kaya pinapataas ang mga pagkakataon ng malware na maiwasan ang pagtuklas at pagtanggal.

Ang mga Tier 2 C2 node ay madalas na nakikipag-ugnayan sa mga nakompromisong device gamit ang iba't ibang mga diskarte, gaya ng mga algorithm ng pagbuo ng domain o mga network ng mabilis na pagkilos, na lalong nagpapahirap sa mga pagsisikap na harangan o i-off ang mga channel ng komunikasyon ng malware. Gumagamit ang mga banta ng mga node ng Tier 2 C2 para mapanatili ang kontrol sa kanilang mga botnet at mapadali ang pagsasagawa ng mga nakakahamak na operasyon habang pinapaliit ang mga panganib na nauugnay sa direktang komunikasyon sa pagitan ng central server at ng mga nahawaang device.

Pinagsasamantalahan ang mga C2 Server

Ang pinakahuling mga natuklasan na inihayag ng Team Cymru ay nagpapakita ng isang kapansin-pansing pagbaba sa bilang ng mga kasalukuyang C2 na nakikipag-ugnayan sa T2 layer. Ngayon na may walo na lang natitira, ang pagbabang ito ay bahagyang nauugnay sa mga aksyon ng Black Lotus Labs na null-routing ang mas mataas na antas na imprastraktura noong Mayo 2023. Naobserbahan ng kumpanya ang isang malaking pagbawas sa trapiko mula sa mga Indian C2 at ang malapit na pagkawala ng mga US C2 noong Hunyo 2, na iniuugnay nila sa null-routing ng T2 layer. Bilang karagdagan sa 15 C2 server, anim na dati nang C2 server na aktibo bago ang Hunyo at dalawang bagong na-activate na C2 server noong Hunyo ay nagpakita ng patuloy na aktibidad sa buong Hulyo, kahit na matapos ang pagtigil ng mga aktibidad sa pag-spam.

Ang karagdagang pagsisiyasat sa data ng NetFlow ay nagpapakita ng paulit-ulit na pattern kung saan ang mga pinataas na outbound T2 na koneksyon ay madalas na sumusunod sa mga spike sa mga papasok na bot C2 na koneksyon. Bukod pa rito, ang mga pagtaas sa mga papalabas na koneksyon sa T2 ay madalas na kasabay ng pagbaba ng aktibidad ng bot C2. Binigyang-diin ng Team Cymru na sa pamamagitan ng paggamit sa mga biktima bilang imprastraktura ng C2 na may T2 na komunikasyon, ang QakBot ay nagpapataw ng dalawahang pasanin sa mga user, una sa pamamagitan ng paunang kompromiso at pagkatapos ay sa pamamagitan ng potensyal na pinsala sa kanilang reputasyon kapag ang kanilang host ay kinikilala ng publiko bilang nakakahamak. Binigyang-diin ng kumpanya na sa pamamagitan ng pagputol ng mga komunikasyon sa mga upstream server, ang mga biktima ay hindi makakatanggap ng mga tagubilin sa C2, na epektibong pinangangalagaan ang kasalukuyan at hinaharap na mga user laban sa kompromiso.

Tungkol sa QakBot

Ang QakBot, na kilala rin bilang QBot, ay isang kilalang trojan sa pagbabangko at malware sa pagnanakaw ng impormasyon mula noong bandang 2007. Pangunahing pinupuntirya nito ang mga operating system ng Windows at idinisenyo upang magnakaw ng sensitibong impormasyon sa pananalapi mula sa mga nahawaang computer, tulad ng mga kredensyal sa pagbabangko, mga detalye ng credit card, at personal na data. Ang QakBot ay karaniwang dumarating sa pamamagitan ng mga nakakahamak na email attachment, link, o mga nahawaang website. Kapag na-install na sa isang system, maaari itong kumonekta sa mga command-and-control (C2) server, na nagbibigay-daan sa mga hacker na kontrolin ang infected na makina at i-exfiltrate ang ninakaw na data nang malayuan. Ang QakBot ay nagpakita ng mataas na antas ng pagiging sopistikado sa mga nakaraang taon, patuloy na nagbabago ng mga diskarte nito upang maiwasan ang pagtuklas at mga hakbang sa seguridad. Maaari din itong kumalat sa pamamagitan ng mga pagbabahagi ng network at pagsamantalahan ang mga kahinaan upang magpalaganap sa loob ng isang network. Sa pangkalahatan, ang QakBot ay isang malaking banta sa mga indibidwal at organisasyon dahil sa kakayahang magnakaw ng sensitibong impormasyon at posibleng humantong sa mga pagkalugi sa pananalapi.

Ang mga Operator ng QakBot Malware ay Nagpapalakas ng Banta sa Pagdagsa ng 15 Bagong C2 Server Mga screenshot