QakBot 惡意軟件運營商激增 15 台新 C2 服務器，加劇威脅

在最近的一項進展中，QakBot（也稱為QBot）惡意軟件背後的組織已於2023 年6 月底之前建立了一個由15 個命令和控制(C2) 服務器組成的新網絡。這一觀察建立在對該惡意軟件的持續調查的基礎上。由 Cymru 團隊進行的基礎設施建設。值得注意的是，這次擴張緊隨 Lumen Black Lotus Labs 的披露，該實驗室披露其四分之一的 C2 服務器僅在一天內保持運行，揭示了QakBot運營的動態和難以捉摸的本質。

QakBot 傳統上在夏季表現出長時間停機的模式，通常在 9 月重新出現。據該網絡安全公司稱，今年，其垃圾郵件發送活動大約於 2023 年 6 月 22 日停止。然而，QakBot 運營商是否利用這段停機時間作為假期，或者利用它來完善和更新他們的基礎設施和工具，還有待觀察。

部署完善的基礎設施

與 Emotet 和 I cedID惡意軟件中觀察到的架構類似，QakBot 的命令與控制 (C2) 網絡呈現出多層結構。在此安排中，C2 節點與俄羅斯虛擬專用服務器 (VPS) 提供商託管的更高級別第 2 層 (T2) C2 節點進行通信。大多數與受感染的受害者主機通信的機器人 C2 服務器主要位於美國和印度。分析T2節點的出站連接發現，目的IP地址位於美國、印度、墨西哥和委內瑞拉。除了 C2 和 T2 節點之外，BackConnect (BC) 服務器還將受感染的機器人轉換為代理，使它們能夠為各種惡意活動提供服務。這種複雜的網絡架構強調了 QakBot 在多個地理位置協調其運營的努力，從而增強了其有效管理和控制受感染系統的能力。

在網絡威脅和惡意軟件的背景下，第 2 層 C2 節點是指多層架構中命令和控制基礎設施的中間級別。 QakBot、Emotet 和 IcedID 等複雜的惡意軟件通常採用這種架構。第 2 層 C2 節點是主命令和控制服務器（第 1 層）與受感染設備或機器人（端點）之間的中介。

第 2 層節點的目的是增強惡意軟件通信網絡的彈性和隱蔽性。它們幫助將命令和控制信號從中央 C2 服務器分發到第 2 層節點網絡，然後將這些指令轉發到各個受感染的設備。這種分層設置使安全分析人員更難將惡意活動追溯到主要 C2 服務器，從而增加了惡意軟件逃避檢測和刪除的機會。

第 2 層 C2 節點通常使用各種技術（例如域生成算法或快速通量網絡）與受感染的設備進行通信，這進一步使阻止或關閉惡意軟件通信通道的工作變得更加複雜。威脅行為者使用第 2 層 C2 節點來維持對其殭屍網絡的控制並促進惡意操作的執行，同時最大限度地降低與中央服務器和受感染設備之間直接通信相關的風險。

C2 服務器被利用

Cymru 團隊公佈的最新發現強調，與 T2 層交互的現有 C2 數量顯著下降。現在只剩下8 個，這一下降部分歸因於Black Lotus Labs 在2023 年5 月對更高層基礎設施進行零路由的行動。該公司觀察到來自印度C2 的流量大幅減少，而美國C2 的流量在6 月份左右幾乎消失2，它們與 T2 層的空路由相關聯。除了15 台C2 服務器之外，6 月份之前活躍的6 台現有C2 服務器和6 月份新激活的2 台C2 服務器在整個7 月份都表現出持續的活動，即使在垃圾郵件發送活動停止之後也是如此。

對 NetFlow 數據的進一步審查顯示了一種反復出現的模式，其中出站 T2 連接數通常會隨著入站機器人 C2 連接的峰值而增加。此外，出站 T2 連接的激增經常與機器人 C2 活動的下降同時發生。 Cymru 團隊強調，通過利用受害者作為具有T2 通信的C2 基礎設施，QakBot 給用戶帶來了雙重負擔，首先是最初的妥協，然後是當其主機被公開認為是惡意的時，他們的聲譽可能受到損害。該公司強調，通過切斷與上游服務器的通信，受害者無法接收C2指令，有效保護當前和未來的用戶免受損害。

關於QakBot

QakBot，也稱為QBot，自2007 年左右以來一直是臭名昭著的銀行木馬和信息竊取惡意軟件。它主要針對Windows 操作系統，旨在從受感染的計算機中竊取敏感的財務信息，例如銀行憑證、信用卡詳細信息和個人資料。 QakBot 通常通過惡意電子郵件附件、鏈接或受感染的網站傳播。一旦安裝在系統上，它就可以與命令和控制（C2）服務器連接，使黑客能夠控制受感染的機器並遠程竊取被盜數據。多年來，QakBot 表現出了高度的複雜性，不斷發展其技術來逃避檢測和安全措施。它還可以通過網絡共享進行傳播並利用漏洞在網絡內傳播。總體而言，QakBot 對個人和組織構成重大威脅，因為它能夠竊取敏感信息並可能導致財務損失。

QakBot 惡意軟件運營商激增 15 台新 C2 服務器，加劇威脅 截图