Các nhà khai thác phần mềm độc hại QakBot khuếch đại mối đe dọa với sự gia tăng của 15 máy chủ C2 mới
Trong một diễn biến gần đây, nhóm đằng sau phần mềm độc hại QakBot (còn được gọi là QBot) đã thiết lập một mạng mới gồm 15 máy chủ ra lệnh và kiểm soát (C2) vào cuối tháng 6 năm 2023. Quan sát này được xây dựng dựa trên cuộc điều tra đang diễn ra về phần mềm độc hại cơ sở hạ tầng do Nhóm Cymru thực hiện. Đáng chú ý, bản mở rộng này theo sát sau tiết lộ của Lumen Black Lotus Labs, tiết lộ rằng một phần tư máy chủ C2 của họ vẫn hoạt động chỉ trong một ngày, làm sáng tỏ bản chất năng động và khó nắm bắt trong hoạt động của QakBot .
Theo truyền thống, QakBot thể hiện mô hình thời gian ngừng hoạt động kéo dài trong những tháng mùa hè, thường hoạt động trở lại vào tháng 9. Theo công ty an ninh mạng, trong năm hiện tại, các hoạt động gửi thư rác của nó đã tạm dừng vào khoảng ngày 22 tháng 6 năm 2023. Tuy nhiên, liệu các nhà khai thác QakBot có sử dụng thời gian ngừng hoạt động này như một kỳ nghỉ hay sử dụng nó để tinh chỉnh và cập nhật cơ sở hạ tầng cũng như các công cụ của họ hay không vẫn còn phải xem xét.
Mục lục
Triển khai cơ sở hạ tầng tinh tế
Tương tự như cấu trúc được quan sát thấy trong phần mềm độc hại Emotet và tôi cedID , mạng Lệnh và Kiểm soát (C2) của QakBot thể hiện cấu trúc nhiều tầng. Trong sự sắp xếp này, các nút C2 giao tiếp với các nút C2 Cấp 2 (T2) cấp cao hơn được lưu trữ trên các nhà cung cấp máy chủ riêng ảo (VPS) ở Nga. Hầu hết các máy chủ bot C2 giao tiếp với các máy chủ nạn nhân bị xâm nhập chủ yếu ở Hoa Kỳ và Ấn Độ. Phân tích các kết nối ra bên ngoài từ các nút T2 cho thấy rằng các địa chỉ IP đích là ở Hoa Kỳ, Ấn Độ, Mexico và Venezuela. Bên cạnh các nút C2 và T2, máy chủ BackConnect (BC) biến đổi các bot bị xâm nhập thành proxy, cho phép chúng phục vụ các hoạt động độc hại khác nhau. Kiến trúc mạng phức tạp này nhấn mạnh nỗ lực của QakBot trong việc điều phối các hoạt động của mình trên nhiều vị trí địa lý, nâng cao khả năng quản lý và kiểm soát hiệu quả các hệ thống bị lây nhiễm.
Các nút C2 Cấp 2, trong bối cảnh các mối đe dọa mạng và phần mềm độc hại, đề cập đến cấp độ trung gian của cơ sở hạ tầng chỉ huy và kiểm soát trong một kiến trúc nhiều tầng. Các dòng phần mềm độc hại tinh vi như QakBot, Emotet và IcedID thường sử dụng kiến trúc này. Các nút C2 Cấp 2 là trung gian giữa các máy chủ chỉ huy và kiểm soát chính (Cấp 1) và các thiết bị hoặc bot (điểm cuối) bị xâm nhập.
Mục đích của các nút Cấp 2 là tăng cường khả năng phục hồi và tàng hình của mạng liên lạc của phần mềm độc hại. Chúng giúp phân phối các lệnh và tín hiệu điều khiển từ các máy chủ C2 trung tâm đến mạng gồm các nút Cấp 2, sau đó các nút này sẽ chuyển tiếp các lệnh này đến từng thiết bị bị xâm nhập. Thiết lập phân cấp này khiến các nhà phân tích bảo mật khó theo dõi các hoạt động độc hại quay trở lại các máy chủ C2 chính, do đó làm tăng cơ hội tránh bị phát hiện và gỡ xuống của phần mềm độc hại.
Các nút C2 cấp 2 thường giao tiếp với các thiết bị bị xâm nhập bằng nhiều kỹ thuật khác nhau, chẳng hạn như thuật toán tạo miền hoặc mạng thông lượng nhanh, điều này làm phức tạp thêm nỗ lực chặn hoặc tắt các kênh liên lạc của phần mềm độc hại. Các tác nhân đe dọa sử dụng các nút C2 Cấp 2 để duy trì quyền kiểm soát mạng botnet của chúng và tạo điều kiện thuận lợi cho việc thực hiện các hoạt động độc hại đồng thời giảm thiểu rủi ro liên quan đến giao tiếp trực tiếp giữa máy chủ trung tâm và thiết bị bị nhiễm.
Máy chủ C2 được khai thác
Những phát hiện gần đây nhất do Nhóm Cymru công bố nêu bật sự sụt giảm đáng chú ý về số lượng C2 hiện có tương tác với lớp T2. Hiện chỉ còn lại tám chiếc, sự sụt giảm này một phần là do hành động vô hiệu hóa cơ sở hạ tầng cấp cao hơn của Black Lotus Labs vào tháng 5 năm 2023. Công ty đã quan sát thấy lưu lượng truy cập từ các C2 của Ấn Độ giảm đáng kể và các C2 của Hoa Kỳ gần như biến mất vào khoảng tháng 6 2, mà chúng liên kết với định tuyến null của lớp T2. Ngoài 15 máy chủ C2, sáu máy chủ C2 có sẵn hoạt động trước tháng 6 và hai máy chủ C2 mới được kích hoạt vào tháng 6 vẫn tiếp tục hoạt động trong suốt tháng 7, ngay cả sau khi ngừng các hoạt động gửi thư rác.
Việc xem xét kỹ lưỡng hơn nữa dữ liệu NetFlow sẽ hiển thị một mẫu lặp lại trong đó các kết nối T2 gửi đi tăng cường thường theo sau các đợt tăng đột biến trong các kết nối bot C2 gửi vào. Ngoài ra, sự gia tăng kết nối T2 ra bên ngoài thường trùng với sự sụt giảm trong hoạt động của bot C2. Nhóm Cymru nhấn mạnh rằng bằng cách sử dụng nạn nhân làm cơ sở hạ tầng C2 với giao tiếp T2, QakBot đặt ra gánh nặng kép cho người dùng, đầu tiên là thông qua sự thỏa hiệp ban đầu và sau đó là khả năng gây tổn hại đến danh tiếng của họ khi máy chủ của họ bị công khai công nhận là độc hại. Công ty nhấn mạnh rằng bằng cách cắt đứt liên lạc với các máy chủ ngược dòng, nạn nhân không thể nhận được hướng dẫn C2, bảo vệ hiệu quả người dùng hiện tại và tương lai khỏi bị xâm phạm.
Giới thiệu về QakBot
QakBot, còn được gọi là QBot, là một trojan ngân hàng khét tiếng và phần mềm độc hại đánh cắp thông tin kể từ khoảng năm 2007. Nó chủ yếu nhắm mục tiêu vào các hệ điều hành Windows và được thiết kế để đánh cắp thông tin tài chính nhạy cảm từ các máy tính bị nhiễm, chẳng hạn như thông tin đăng nhập ngân hàng, chi tiết thẻ tín dụng và dữ liệu cá nhân. QakBot thường xuất hiện thông qua các tệp đính kèm email độc hại, liên kết hoặc trang web bị nhiễm độc. Sau khi được cài đặt trên một hệ thống, nó có thể kết nối với các máy chủ chỉ huy và kiểm soát (C2), cho phép tin tặc kiểm soát máy bị nhiễm và lọc dữ liệu bị đánh cắp từ xa. QakBot đã thể hiện mức độ tinh vi cao trong những năm qua, không ngừng phát triển các kỹ thuật của mình để trốn tránh các biện pháp bảo mật và phát hiện. Nó cũng có thể lây lan qua mạng chia sẻ và khai thác các lỗ hổng để lan truyền trong mạng. Nhìn chung, QakBot là mối đe dọa đáng kể đối với các cá nhân và tổ chức do khả năng đánh cắp thông tin nhạy cảm và có khả năng dẫn đến tổn thất tài chính.
Các nhà khai thác phần mềm độc hại QakBot khuếch đại mối đe dọa với sự gia tăng của 15 máy chủ C2 mới ảnh chụp màn hình
