عادت البرامج الضارة Qakbot بعد أقل من أربعة أشهر من قيام سلطات إنفاذ القانون الأمريكية والدولية بتفكيك البنية التحتية للتوزيع في عملية لاقت استحسانًا واسع النطاق أطلق عليها اسم "بطة هانت".
في الأيام الأخيرة، أبلغ العديد من موردي الخدمات الأمنية عن رؤية البرامج الضارة يتم توزيعها عبر رسائل البريد الإلكتروني التصيدية التي تستهدف المؤسسات في قطاع الضيافة. في الوقت الحالي، يبدو أن حجم البريد الإلكتروني منخفض نسبيًا. ولكن بالنظر إلى المثابرة التي أظهرها مشغلو Qakbot في الماضي، فمن المحتمل ألا يمر وقت طويل قبل أن يرتفع الحجم مرة أخرى.
أحجام منخفضة – حتى الآن
قدرت مجموعة استخبارات التهديدات التابعة لشركة Microsoft أن الحملة الجديدة بدأت في 11 ديسمبر، بناءً على الطابع الزمني في الحمولة المستخدمة في الهجمات الأخيرة. قالت الشركة في إن الأهداف تلقت رسائل بريد إلكتروني تحتوي على مرفق PDF من مستخدم يزعم أنه موظف في مصلحة الضرائب الأمريكية مشاركات متعددة على X، المنصة المعروفة سابقًا باسم تويتر. نشرت Microsoft: "يحتوي ملف PDF على عنوان URL يقوم بتنزيل Windows Installer (.msi) الموقع رقميًا". "أدى تنفيذ MSI إلى استدعاء Qakbot باستخدام تنفيذ التصدير "hvsi" لملف DLL المضمن." ووصف الباحثون نسخة Qakbot التي يوزعها ممثل التهديد في الحملة الجديدة بأنها نسخة لم تُعرض من قبل.
لاحظ Zscaler ظهور البرامج الضارة أيضًا. في منشور على X الشركة حددت الإصدار الجديد مثل 64 بت، باستخدام AES لتشفير الشبكة وإرسال طلبات POST إلى مسار محدد على الأنظمة المخترقة. وأكد Proofpoint مشاهد مماثلة بعد يوم واحد مع الإشارة أيضًا إلى أن ملفات PDF في الحملة الحالية قد تم توزيعها منذ 28 نوفمبر على الأقل.
التهديد السائد منذ فترة طويلة
Qakbot هو برنامج ضار بشكل خاص، وهو موجود منذ عام 2007 على الأقل. وقد استخدم مؤلفوه في الأصل البرنامج الضار باعتباره حصان طروادة المصرفي، ولكن في السنوات الأخيرة تحولوا إلى نموذج البرامج الضارة كخدمة. عادةً ما تقوم الجهات الفاعلة في مجال التهديد بتوزيع البرامج الضارة عبر رسائل البريد الإلكتروني التصيدية، وعادةً ما تصبح الأنظمة المصابة جزءًا من شبكة الروبوتات الأكبر. في ال وقت الإزالة وفي أغسطس/آب، حددت سلطات إنفاذ القانون ما يصل إلى 700,000 ألف نظام مصاب بـ Qakbot في جميع أنحاء العالم، حوالي 200,000 ألف منها موجودة في الولايات المتحدة.
وقد استخدمتها الجهات الفاعلة التابعة لـ Qakbot بشكل متزايد كوسيلة لإسقاط برامج ضارة أخرى، أبرزها Cobalt Strike، بروت راتل, وعدد كبير من برامج الفدية. في العديد من الحالات، استخدم وسطاء الوصول الأولي Qakbot للوصول إلى شبكة مستهدفة ثم باعوا هذا الوصول لاحقًا إلى جهات تهديد أخرى. "من المعروف بشكل خاص أن إصابات QakBot تسبق نشر برامج الفدية التي يديرها الإنسان، بما في ذلك Conti وProLock وEgregor وREvil وMegaCortex وBlack Basta وRoyal وPwndLocker". وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية وأشار في بيان أعلن عن إزالة تطبيق القانون في وقت سابق من هذا العام.
انهاء الخدمة فقط تباطأ Qakbot
يبدو أن المشاهدات الأخيرة لبرامج Qakbot الضارة تؤكد ما أبلغ عنه بعض البائعين في الأشهر الأخيرة: كان تأثير إزالة تطبيق القانون على الجهات الفاعلة في Quakbot أقل مما يُتصور بشكل عام.
في أكتوبر، على سبيل المثال، قام صائدو التهديدات في سيسكو تالوس ذكرت أن الجهات الفاعلة التابعة لـ Qakbot استمرت في توزيع برنامج Remcos الخلفي وبرنامج الفدية Ransom Knight في الأسابيع والأشهر التي تلت استيلاء مكتب التحقيقات الفيدرالي على البنية التحتية لـ Qakbot. ورأى جيلهيرم فينير، الباحث الأمني في Talos، أن ذلك علامة على أن عملية إنفاذ القانون في أغسطس ربما تكون قد تمكنت فقط من القضاء على خوادم القيادة والتحكم الخاصة بـ Qakbot وليس آليات تسليم البريد العشوائي الخاصة بها.
وقال فينير في ذلك الوقت: "على الرغم من أننا لم نر جهات التهديد التي توزع Qakbot نفسها بعد إزالة البنية التحتية، إلا أننا نقدر أن البرامج الضارة ستستمر في تشكيل تهديد كبير في المستقبل". "نرى أن هذا محتمل لأنه لم يتم القبض على المطورين وما زالوا يعملون، مما يفتح احتمال أنهم قد يختارون إعادة بناء البنية التحتية لـ Qakbot."
وقالت شركة Lumu الأمنية إنها أحصت ما مجموعه 1,581 محاولة هجوم على عملائها في سبتمبر الماضي، والتي تعزى إلى قاكبوت. وفي الأشهر اللاحقة، ظل النشاط عند نفس المستوى تقريبًا، وفقًا للشركة. استهدفت معظم الهجمات مؤسسات في قطاعات التمويل والتصنيع والتعليم والحكومة.
يقول ريكاردو فيلاديجو، الرئيس التنفيذي لشركة Lumu، إن التوزيع المستمر للبرامج الضارة من قبل مجموعة التهديد يشير إلى أنها تمكنت من تجنب عواقب وخيمة. وأشار إلى أن قدرة المجموعة على مواصلة العمل تعتمد في المقام الأول على الجدوى الاقتصادية والقدرات الفنية وسهولة إنشاء بنية تحتية جديدة. "بما أن نموذج برامج الفدية لا يزال مربحًا وأن الجهود القانونية لم تستهدف الأفراد والبنية الأساسية لهذه العمليات الإجرامية على وجه التحديد، فقد أصبح من الصعب تحييد أي شبكة برامج ضارة مثل هذه بشكل كامل."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback
- :لديها
- :يكون
- :ليس
- $ UP
- 000
- 1
- 11
- 200
- 28
- 7
- 700
- a
- القدرة
- الوصول
- وفقا
- نشاط
- الجهات الفاعلة
- AES
- بعد
- مرة أخرى
- أيضا
- an
- و
- والبنية التحتية
- اعلان
- أي وقت
- تظهر
- هي
- حول
- القى القبض
- AS
- تقييم
- At
- الهجمات
- حاول
- أغسطس
- سلطات
- الكتاب
- الى الخلف
- الباب الخلفي
- البنوك والمصارف
- على أساس
- BE
- أصبح
- يصبح
- كان
- قبل
- بدأ
- يجري
- أكبر
- اسود
- الروبوتات
- وسطاء
- لكن
- الحملات
- قدرات
- الرئيس التنفيذي
- تحدي
- اختار
- الكوبالت
- حول الشركة
- تماما
- تسوية
- أكد
- تم تأكيد
- النتائج
- الواردة
- كونتي
- استمر
- واصل
- استمرار
- مجرم
- حالياًّ
- العملاء
- الأمن السيبراني
- يوم
- أيام
- ديسمبر
- نشر
- وصف
- المطورين
- رقميا
- نشر
- وزعت
- توزيع
- توزيع
- التنزيلات
- قطرة
- يطلق عليها اسم
- في وقت سابق
- سهولة
- اقتصادي
- التعليم
- جهود
- البريد الإلكتروني
- رسائل البريد الإلكتروني
- جزءا لا يتجزأ من
- موظف
- التشفير
- تطبيق
- تأسيس
- مقدر
- الهروب
- تنفيذ
- تصدير
- مكتب التحقيقات الفدرالي
- جدوى
- تمويل
- شركة
- متابعيك
- في حالة
- سابقا
- إلى الأمام
- أربعة
- تبدأ من
- ربح
- على العموم
- معطى
- حكومة
- تجمع
- كان
- يملك
- ملاذ
- he
- يتوقف
- حسن الضيافة
- HTTPS
- محدد
- التأثير
- in
- بما فيه
- على نحو متزايد
- يشير
- الأفراد
- العدوى
- البنية التحتية
- في البداية
- مثل
- رؤيتنا
- عالميا
- التذرع
- مصلحة الضرائب
- IT
- انها
- نفسها
- JPG
- فارس
- معروف
- الى وقت لاحق
- القانون
- تطبيق القانون
- الأقل
- ليد
- شروط وأحكام
- أقل
- مستوى
- مثل
- على الأرجح
- تقع
- طويل
- منخفض
- البرمجيات الخبيثة
- تمكن
- تصنيع
- كثير
- مايو..
- آليات
- مایکروسافت
- نموذج
- لحظة
- المقبلة.
- الأكثر من ذلك
- أكثر
- يتحرك
- MSI
- شبكة
- جديد
- لا سيما
- وأشار
- ملاحظة
- ملاحظة
- نوفمبر
- شهر اكتوبر
- of
- on
- فقط
- افتتاح
- تعمل
- عملية
- تشغيل
- عمليات
- مشغلي
- or
- المنظمات
- في الأصل
- أخرى
- خارج
- جزء
- خاصة
- الماضي
- مسار
- محسوس - ملموس
- التصيد
- مختارات
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- تشكل
- إمكانية
- منشور
- نشر
- المنشورات
- سابقا
- في المقام الأول
- مربح
- فدية
- الفدية
- تلقى
- الأخيرة
- نسبيا
- بقي
- بقايا
- وذكرت
- طلبات
- الباحث
- الباحثين
- الشر
- ملكي
- s
- قال
- نفسه
- رأى
- يقول
- القطاع
- قطاعات
- أمن
- انظر تعريف
- رؤية
- رأيت
- نوبة صرعية
- إرسال
- سبتمبر
- خوادم
- عدة
- أظهرت
- إشارة
- وقعت
- هام
- مماثل
- منذ
- So
- باعت
- بعض
- محدد
- على وجه التحديد
- ملخص الحساب
- لا يزال
- ضرب
- بناء
- لاحق
- أنظمة
- اتخذت
- تالوس
- الهدف
- المستهدفة
- الأهداف
- تقني
- من
- أن
- •
- القانون
- تشبه
- هم
- هذا العام
- على الرغم من؟
- التهديد
- الجهات التهديد
- الوقت
- الطابع الزمني
- إلى
- الإجمالي
- حصان طروادة
- أو تويتر
- عادة
- التي تقوم عليها
- URL
- us
- مستعمل
- مستخدم
- استخدام
- عادة
- المثالية
- الباعة
- الإصدار
- بواسطة
- حجم
- مجلدات
- وكان
- we
- أسابيع
- حسن
- كان
- ابحث عن
- التي
- في حين
- على نحو واسع
- سوف
- نوافذ
- مع
- وون
- في جميع أنحاء العالم
- X
- عام
- سنوات
- زفيرنت