QakBot Kötü Amaçlı Yazılım Operatörleri, 15 Yeni C2 Sunucusunun Artışıyla Tehdidi Büyütüyor
Yakın tarihli bir gelişmede, QakBot (QBot olarak da bilinir) kötü amaçlı yazılımının arkasındaki grup, Haziran 2023'ün sonuna kadar 15 komuta ve kontrol (C2) sunucusundan oluşan yeni bir ağ kurmuştur. Bu gözlem, kötü amaçlı yazılımın devam eden araştırmasına dayanmaktadır. Team Cymru tarafından yürütülen altyapı. Dikkat çekici bir şekilde, bu genişleme, Lumen Black Lotus Labs tarafından C2 sunucularının dörtte birinin yalnızca bir gün boyunca çalışır durumda kaldığını ifşa eden ve QakBot'un operasyonlarının dinamik ve anlaşılmaz doğasına ışık tutan bir açıklamanın hemen ardından geldi.
QakBot, geleneksel olarak yaz aylarında, tipik olarak Eylül ayında yeniden ortaya çıkan, uzun süreli bir kesinti modeli sergiler. Siber güvenlik firmasına göre, cari yılda spam işlemleri yaklaşık 22 Haziran 2023'te durduruldu. Ancak, QakBot operatörlerinin bu kapalı kalma süresini bir tatil olarak mı yoksa altyapılarını ve araçlarını iyileştirmek ve güncellemek için mi kullanacağı henüz belli değil.
İçindekiler
Mükemmel Altyapıyı Dağıtma
QakBot'un Komuta ve Kontrol (C2) ağı, Emotet ve I cedID kötü amaçlı yazılımlarında gözlemlenen mimarilere benzer şekilde çok katmanlı bir yapı sergiliyor. Bu düzenleme içinde, C2 düğümleri, Rusya'daki sanal özel sunucu (VPS) sağlayıcılarında barındırılan daha yüksek seviyeli Tier 2 (T2) C2 düğümleriyle iletişim kurar. Güvenliği ihlal edilmiş kurban ana bilgisayarlarla iletişim kuran bot C2 sunucularının çoğu, öncelikle Amerika Birleşik Devletleri ve Hindistan'dadır. T2 düğümlerinden giden bağlantıların analizi, hedef IP adreslerinin Amerika Birleşik Devletleri, Hindistan, Meksika ve Venezuela'da olduğunu ortaya koyuyor. C2 ve T2 düğümlerinin yanı sıra, bir BackConnect (BC) sunucusu, güvenliği ihlal edilmiş botları proxy'lere dönüştürerek çeşitli kötü amaçlı etkinliklere hizmet etmelerini sağlar. Bu karmaşık ağ mimarisi, QakBot'un operasyonlarını birden fazla coğrafi konumda düzenleme çabalarının altını çizerek, virüs bulaşmış sistemleri etkili bir şekilde yönetme ve kontrol etme becerisini geliştirir.
Katman 2 C2 düğümleri, siber tehditler ve kötü amaçlı yazılım bağlamında, çok katmanlı bir mimaride orta düzeyde komuta ve kontrol altyapısı anlamına gelir. QakBot, Emotet ve IcedID gibi gelişmiş kötü amaçlı yazılım türleri genellikle bu mimariyi kullanır. Kademe 2 C2 düğümleri, ana komuta ve kontrol sunucuları (Kademe 1) ile güvenliği ihlal edilmiş cihazlar veya robotlar (uç noktalar) arasındaki aracılardır.
Katman 2 düğümlerinin amacı, kötü amaçlı yazılımın iletişim ağının dayanıklılığını ve gizliliğini artırmaktır. Komutların ve kontrol sinyallerinin merkezi C2 sunucularından Tier 2 düğümlerinden oluşan bir ağa dağıtılmasına yardımcı olurlar ve bu ağlar daha sonra bu talimatları güvenliği ihlal edilmiş bireysel cihazlara iletir. Bu hiyerarşik kurulum, güvenlik analistlerinin kötü amaçlı etkinlikleri ana C2 sunucularına kadar izlemesini zorlaştırır ve böylece kötü amaçlı yazılımın tespit ve yayından kaldırmalardan kaçma şansını artırır.
Katman 2 C2 düğümleri, genellikle etki alanı oluşturma algoritmaları veya hızlı akış ağları gibi çeşitli teknikler kullanarak güvenliği ihlal edilmiş cihazlarla iletişim kurar, bu da kötü amaçlı yazılımın iletişim kanallarını engelleme veya kapatma çabalarını daha da karmaşık hale getirir. Tehdit aktörleri, merkezi sunucu ile virüslü cihazlar arasındaki doğrudan iletişimle ilişkili riskleri en aza indirirken, bot ağları üzerinde kontrolü sürdürmek ve kötü niyetli operasyonların yürütülmesini kolaylaştırmak için Katman 2 C2 düğümlerini kullanır.
İstismar Edilen C2 Sunucuları
Team Cymru tarafından açıklanan en son bulgular, T2 katmanıyla etkileşime giren mevcut C2'lerin sayısında kayda değer bir düşüş olduğunu vurgulamaktadır. Şimdi yalnızca sekiz tane kaldı ve bu düşüş kısmen, Black Lotus Labs'ın Mayıs 2023'te üst düzey altyapıyı boş yönlendirme eylemlerine bağlanıyor. Şirket, Hindistan C2'lerinden gelen trafikte önemli bir azalma ve Haziran ayı civarında ABD C2'lerinin neredeyse tamamen ortadan kalktığını gözlemledi. 2, T2 katmanını boş yönlendirmeyle ilişkilendirirler. 15 C2 sunucusuna ek olarak, Haziran'dan önce etkin olan önceden var olan altı C2 sunucusu ve Haziran'da yeni etkinleştirilen iki C2 sunucusu, istenmeyen e-posta gönderme etkinliklerinin sona ermesinden sonra bile Temmuz boyunca sürekli etkinlik gösterdi.
NetFlow verilerinin daha ayrıntılı incelenmesi, artan giden T2 bağlantılarının genellikle gelen bot C2 bağlantılarındaki artışları takip ettiği yinelenen bir model gösterir. Ek olarak, giden T2 bağlantılarındaki artışlar sıklıkla bot C2 etkinliğindeki düşüşlerle çakışır. Cymru Ekibi, kurbanları T2 iletişimi ile C2 altyapısı olarak kullanarak, QakBot'un kullanıcılara ikili bir yük getirdiğini vurguladı; önce ilk güvenlik ihlali yoluyla, ardından ana bilgisayarlarının kötü niyetli olduğu genel olarak kabul edildiğinde itibarlarına olası zarar yoluyla. Şirket, yukarı akış sunucularıyla iletişimi keserek kurbanların C2 talimatlarını alamadığını ve mevcut ve gelecekteki kullanıcıları uzlaşmaya karşı etkili bir şekilde koruduğunu vurguladı.
QakBot Hakkında
QBot olarak da bilinen QakBot, 2007'den beri kötü şöhretli bir bankacılık truva atı ve bilgi çalan kötü amaçlı yazılımdır. Öncelikle Windows işletim sistemlerini hedefler ve virüs bulaşmış bilgisayarlardan bankacılık kimlik bilgileri, kredi kartı bilgileri ve benzeri hassas finansal bilgileri çalmak için tasarlanmıştır. kişisel veri. QakBot genellikle kötü amaçlı e-posta ekleri, bağlantılar veya virüslü web siteleri aracılığıyla gelir. Bir sisteme yüklendikten sonra komuta ve kontrol (C2) sunucularına bağlanarak bilgisayar korsanlarının virüslü makineyi kontrol etmesine ve çalınan verileri uzaktan sızdırmasına olanak tanır. QakBot, tespit ve güvenlik önlemlerinden kaçınmak için tekniklerini sürekli geliştirerek yıllar boyunca yüksek düzeyde bir gelişmişlik sergiledi. Ayrıca ağ paylaşımları yoluyla yayılabilir ve bir ağ içinde yayılmak için güvenlik açıklarından yararlanabilir. Genel olarak QakBot, hassas bilgileri çalma ve potansiyel olarak finansal kayıplara yol açma yeteneği nedeniyle bireyler ve kuruluşlar için önemli bir tehdittir.
QakBot Kötü Amaçlı Yazılım Operatörleri, 15 Yeni C2 Sunucusunun Artışıyla Tehdidi Büyütüyor Ekran Görüntüsü
