QakBot 恶意软件运营商激增 15 台新 C2 服务器,加剧威胁
在最近的一项进展中,QakBot(也称为 QBot)恶意软件背后的组织已于 2023 年 6 月底之前建立了一个由 15 个命令和控制 (C2) 服务器组成的新网络。这一观察建立在对该恶意软件的持续调查的基础上。由 Cymru 团队进行的基础设施建设。值得注意的是,这次扩张紧随 Lumen Black Lotus Labs 的披露,该实验室披露其四分之一的 C2 服务器仅在一天内保持运行,揭示了QakBot运营的动态和难以捉摸的本质。
QakBot 传统上在夏季表现出长时间停机的模式,通常在 9 月重新出现。据该网络安全公司称,今年,其垃圾邮件发送活动大约于 2023 年 6 月 22 日停止。然而,QakBot 运营商是否利用这段停机时间作为假期,或者利用它来完善和更新他们的基础设施和工具,还有待观察。
目录
部署完善的基础设施
与 Emotet 和 I cedID恶意软件中观察到的架构类似,QakBot 的命令与控制 (C2) 网络呈现出多层结构。在此安排中,C2 节点与俄罗斯虚拟专用服务器 (VPS) 提供商托管的更高级别第 2 层 (T2) C2 节点进行通信。大多数与受感染的受害者主机通信的机器人 C2 服务器主要位于美国和印度。分析T2节点的出站连接发现,目的IP地址位于美国、印度、墨西哥和委内瑞拉。除了 C2 和 T2 节点之外,BackConnect (BC) 服务器将受感染的机器人转换为代理,使它们能够为各种恶意活动提供服务。这种复杂的网络架构强调了 QakBot 在多个地理位置协调其运营的努力,从而增强了其有效管理和控制受感染系统的能力。
在网络威胁和恶意软件的背景下,第 2 层 C2 节点是指多层架构中命令和控制基础设施的中间级别。 QakBot、Emotet 和 IcedID 等复杂的恶意软件通常采用这种架构。第 2 层 C2 节点是主命令和控制服务器(第 1 层)与受感染设备或机器人(端点)之间的中介。
第 2 层节点的目的是增强恶意软件通信网络的弹性和隐蔽性。它们帮助将命令和控制信号从中央 C2 服务器分发到第 2 层节点网络,然后将这些指令转发到各个受感染的设备。这种分层设置使安全分析人员更难将恶意活动追溯到主要 C2 服务器,从而增加了恶意软件逃避检测和删除的机会。
第 2 层 C2 节点通常使用各种技术(例如域生成算法或快速通量网络)与受感染的设备进行通信,这进一步使阻止或关闭恶意软件通信通道的工作变得更加复杂。威胁行为者使用第 2 层 C2 节点来维持对其僵尸网络的控制并促进恶意操作的执行,同时最大限度地降低与中央服务器和受感染设备之间直接通信相关的风险。
C2 服务器被利用
Cymru 团队公布的最新发现强调,与 T2 层交互的现有 C2 数量显着下降。现在只剩下 8 个,这一下降部分归因于 Black Lotus Labs 在 2023 年 5 月对更高层基础设施进行零路由的行动。该公司观察到来自印度 C2 的流量大幅减少,而美国 C2 的流量在 6 月份左右几乎消失2,它们与 T2 层的空路由相关联。除了 15 台 C2 服务器之外,6 月份之前活跃的 6 台现有 C2 服务器和 6 月份新激活的 2 台 C2 服务器在整个 7 月份都表现出持续的活动,即使在垃圾邮件发送活动停止之后也是如此。
对 NetFlow 数据的进一步审查显示了一种反复出现的模式,其中出站 T2 连接数通常会随着入站机器人 C2 连接的峰值而增加。此外,出站 T2 连接的激增经常与机器人 C2 活动的下降同时发生。 Cymru 团队强调,通过利用受害者作为具有 T2 通信的 C2 基础设施,QakBot 给用户带来了双重负担,首先是最初的妥协,然后是当其主机被公开认为是恶意的时,他们的声誉可能受到损害。该公司强调,通过切断与上游服务器的通信,受害者无法接收C2指令,有效保护当前和未来的用户免受损害。
关于QakBot
QakBot,也称为 QBot,自 2007 年左右以来一直是臭名昭著的银行木马和信息窃取恶意软件。它主要针对 Windows 操作系统,旨在从受感染的计算机中窃取敏感的财务信息,例如银行凭证、信用卡详细信息和个人资料。 QakBot 通常通过恶意电子邮件附件、链接或受感染的网站传播。一旦安装在系统上,它就可以与命令和控制(C2)服务器连接,使黑客能够控制受感染的机器并远程窃取被盗数据。多年来,QakBot 表现出了高度的复杂性,不断发展其技术来逃避检测和安全措施。它还可以通过网络共享进行传播并利用漏洞在网络内传播。总体而言,QakBot 对个人和组织构成重大威胁,因为它能够窃取敏感信息并可能导致财务损失。
QakBot 恶意软件运营商激增 15 台新 C2 服务器,加剧威胁 截图
