Оператори зловмисного програмного забезпечення QakBot посилюють загрозу за допомогою 15 нових серверів C2
Нещодавно група, що стоїть за QakBot (також відома як QBot), створила нову мережу з 15 командно-контрольних (C2) серверів до кінця червня 2023 року. Це спостереження ґрунтується на поточному розслідуванні зловмисного програмного забезпечення. інфраструктури, яку проводить Team Cymru. Примітно, що це розширення слідує за відкриттям Lumen Black Lotus Labs, яке оголосило, що чверть її серверів C2 залишаються в робочому стані лише один день, що проливає світло на динамічну та невловиму природу операцій QakBot .
QakBot традиційно демонструє зразок тривалого простою протягом літніх місяців, зазвичай відновлюючи поверхню у вересні. За даними фірми з кібербезпеки, поточного року її спам-операції припинилися приблизно 22 червня 2023 року. Однак чи використовують оператори QakBot цей час простою як відпустку чи використовують його для вдосконалення та оновлення своєї інфраструктури та інструментів, ще невідомо.
Зміст
Розгортання вишуканої інфраструктури
Подібно до архітектур, які спостерігаються у зловмисних програмах Emotet і I cedID , мережа командування та контролю (C2) QakBot демонструє багаторівневу структуру. У рамках цієї домовленості вузли C2 спілкуються з вузлами C2 вищого рівня Tier 2 (T2), розміщеними на постачальниках віртуальних приватних серверів (VPS) у Росії. Більшість бот-серверів C2, які спілкуються з скомпрометованими хостами-жертвами, розташовані переважно в Сполучених Штатах та Індії. Аналіз вихідних з’єднань із вузлів T2 показує, що IP-адреси призначення знаходяться в Сполучених Штатах, Індії, Мексиці та Венесуелі. Поряд із вузлами C2 і T2 сервер BackConnect (BC) перетворює скомпрометованих ботів на проксі-сервери, що дозволяє їм обслуговувати різноманітні шкідливі дії. Ця складна мережева архітектура підкреслює зусилля QakBot щодо організації своїх операцій у багатьох географічних місцях, підвищуючи його здатність ефективно керувати та контролювати заражені системи.
Вузли C2 рівня 2 у контексті кіберзагроз і зловмисного програмного забезпечення відносяться до проміжного рівня командно-контрольної інфраструктури в багаторівневій архітектурі. Складні види шкідливого програмного забезпечення, такі як QakBot, Emotet і IcedID, часто використовують цю архітектуру. Вузли C2 рівня 2 є посередниками між основними командно-контрольними серверами (рівень 1) і скомпрометованими пристроями або ботами (кінцевими точками).
Метою вузлів рівня 2 є підвищення стійкості та скритності комунікаційної мережі шкідливого програмного забезпечення. Вони допомагають розподіляти команди та керуючі сигнали від центральних серверів C2 до мережі вузлів рівня 2, які потім передають ці інструкції окремим скомпрометованим пристроям. Така ієрархічна структура ускладнює аналітикам безпеки відстеження зловмисної діяльності до основних серверів C2, таким чином збільшуючи шанси зловмисного програмного забезпечення уникнути виявлення та видалення.
Вузли C2 рівня 2 часто взаємодіють із скомпрометованими пристроями за допомогою різних методів, таких як алгоритми генерації домену або мережі швидкого потоку, що ще більше ускладнює спроби заблокувати або вимкнути канали зв’язку зловмисного програмного забезпечення. Зловмисники використовують вузли рівня 2 C2, щоб підтримувати контроль над своїми бот-мережами та сприяти виконанню зловмисних операцій, одночасно мінімізуючи ризики, пов’язані з прямим зв’язком між центральним сервером та зараженими пристроями.
Експлуатація серверів C2
Останні результати, оприлюднені командою Cymru, підкреслюють значне зниження кількості існуючих C2, які взаємодіють із шаром T2. Тепер, коли залишилося лише вісім, це зменшення частково пояснюється діями Black Lotus Labs щодо нульової маршрутизації інфраструктури вищого рівня в травні 2023 року. Компанія спостерігала значне скорочення трафіку з індійських C2 і майже зникнення американських C2 приблизно в червні. 2, який вони пов'язують з нульовою маршрутизацією рівня T2. На додаток до 15 серверів C2, шість уже існуючих серверів C2, активних до червня, і два нещодавно активовані сервери C2 у червні відображали продовжену активність протягом липня, навіть після припинення розсилки спаму.
Подальший аналіз даних NetFlow показує повторюваний шаблон, коли посилені вихідні з’єднання T2 часто слідують за спалахами вхідних з’єднань ботів C2. Крім того, сплески вихідних з’єднань T2 часто збігаються з падінням активності бота C2. Команда Cymru підкреслила, що, використовуючи жертв як інфраструктуру C2 зі зв’язком T2, QakBot накладає подвійний тягар на користувачів, спочатку через початковий компромет, а потім через потенційну шкоду їхній репутації, коли їх хост публічно визнають зловмисним. Компанія підкреслила, що, розриваючи зв’язок із вищестоящими серверами, жертви не можуть отримувати інструкції C2, ефективно захищаючи поточних і майбутніх користувачів від компрометації.
Про QakBot
QakBot, також відомий як QBot, є сумнозвісним банківським трояном і зловмисним програмним забезпеченням для крадіжки інформації приблизно з 2007 року. В основному він націлений на операційні системи Windows і призначений для викрадення конфіденційної фінансової інформації з інфікованих комп’ютерів, наприклад банківських облікових даних, даних кредитної картки та особисті дані. QakBot зазвичай надходить через шкідливі вкладення електронної пошти, посилання або заражені веб-сайти. Після встановлення в системі він може підключатися до командно-контрольних (C2) серверів, дозволяючи хакерам контролювати заражену машину та віддалено викрадати вкрадені дані. Протягом багатьох років QakBot демонструє високий рівень витонченості, постійно вдосконалюючи свої методи ухилення від виявлення та заходів безпеки. Він також може поширюватися через спільні мережі та використовувати вразливості для поширення в мережі. Загалом QakBot є значною загрозою для окремих осіб і організацій через свою здатність викрадати конфіденційну інформацію та потенційно призводити до фінансових втрат.
Оператори зловмисного програмного забезпечення QakBot посилюють загрозу за допомогою 15 нових серверів C2 скріншотів
