Qakbot-observationer bekræfter, at nedtagningen af ​​retshåndhævelsen kun var et tilbageslag

Qakbot malware er tilbage mindre end fire måneder efter, at amerikanske og internationale retshåndhævende myndigheder afmonterede sin distributionsinfrastruktur i en bredt hyldet operation kaldet "Duck Hunt".

I de seneste dage har flere sikkerhedsleverandører rapporteret, at de har set malwaren blive distribueret via phishing-e-mails, der er målrettet mod organisationer i gæstfrihedssektoren. I øjeblikket ser e-mail-volumen ud til at være relativt lav. Men i betragtning af den vedholdenhed, som Qakbot-operatører har vist tidligere, vil det sandsynligvis ikke vare længe, ​​før volumen stiger igen.

Lave lydstyrker - indtil videre

Microsofts trusselsefterretningsgruppe har anslået, at den nye kampagne begyndte 11. december, baseret på et tidsstempel i nyttelasten, der blev brugt i de seneste angreb. Mål har modtaget e-mails med en PDF-vedhæftet fil fra en bruger, der foregiver at være ansat hos IRS, sagde virksomheden i flere indlæg på X, platformen tidligere kendt som Twitter. "PDF'en indeholdt en URL, der downloader et digitalt signeret Windows Installer (.msi)," skrev Microsoft. "Eksekvering af MSI førte til, at Qakbot blev påkaldt ved hjælp af eksport 'hvsi' udførelse af en indlejret DLL." Forskerne beskrev Qakbot-versionen, som trusselsaktøren distribuerer i den nye kampagne, som en tidligere uset version.

Zscaler observerede også, at malware dukkede op. I et opslag på X skriver virksomheden identificeret den nye version som 64-bit, ved at bruge AES til netværkskryptering og sende POST-anmodninger til en specifik sti på kompromitterede systemer. Proofpoint bekræftede lignende observationer en dag senere og samtidig bemærke, at PDF'erne i den aktuelle kampagne er blevet distribueret siden mindst 28. november.

Langvarig udbredt trussel

Qakbot er særlig skadelig malware, der har eksisteret siden mindst 2007. Dens forfattere brugte oprindeligt malwaren som en banktrojaner, men i de senere år har de skiftet til en malware-as-a-service-model. Trusselaktører har typisk distribueret malwaren via phishing-e-mails, og inficerede systemer bliver normalt en del af et større botnet. Ved tidspunktet for nedtagningen i august identificerede retshåndhævelsen så mange som 700,000 Qakbot-inficerede systemer på verdensplan, hvoraf omkring 200,000 var placeret i USA.

Qakbot-tilknyttede skuespillere har i stigende grad brugt det som et middel til at droppe anden malware, især Cobalt Strike, Brute Ratel, og en masse ransomware. I mange tilfælde har indledende adgangsmæglere brugt Qakbot til at få adgang til et målnetværk og senere solgt denne adgang til andre trusselsaktører. "QakBot-infektioner er især kendt for at gå forud for implementeringen af ​​menneske-drevet ransomware, herunder Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal og PwndLocker," US Cybersecurity and Infrastructure Security Agency bemærkes i en erklæring, der annoncerer, at retshåndhævelsen blev fjernet tidligere på året.

Kun nedtagning bremsede Qakbot

De seneste observationer af Qakbot-malware ser ud til at bekræfte, hvad nogle leverandører har rapporteret i de seneste måneder: Retshåndhævelsens fjernelse havde mindre indflydelse på Quakbot-aktører, end det generelt opfattes.

I oktober f.eks. trusselsjægere kl Cisco Talos rapporterede, at Qakbot-tilknyttede aktører fortsatte med at distribuere Remcos-bagdøren og Ransom Knight-ransomware i ugerne og månederne efter FBI's beslaglæggelse af Qakbot-infrastrukturen. Talos sikkerhedsforsker Guilherme Venere så det som et tegn på, at Augusts retshåndhævelsesoperation muligvis kun har fjernet Qakbots kommando-og-kontrol-servere og ikke dets spam-leveringsmekanismer.

"Selvom vi ikke har set trusselsaktørerne distribuere selve Qakbot efter nedtagning af infrastruktur, vurderer vi, at malwaren vil fortsætte med at udgøre en betydelig trussel fremadrettet," sagde Venere dengang. "Vi ser dette som sandsynligt, da udviklerne ikke blev arresteret og stadig er i drift, hvilket åbner muligheden for, at de kan vælge at genopbygge Qakbot-infrastrukturen."

Sikkerhedsfirmaet Lumu sagde, at det talte i alt 1,581 forsøg på angreb på sine kunder i september, som kunne tilskrives Qakbot. I de efterfølgende måneder har aktiviteten holdt sig på nogenlunde samme niveau, lyder det fra selskabet. De fleste angreb er rettet mod organisationer inden for finans-, fremstillings-, uddannelses- og regeringssektorer.

Trusselsgruppens fortsatte distribution af malwaren indikerer, at det lykkedes at undgå væsentlige konsekvenser, siger Lumu CEO Ricardo Villadiego. Gruppens evne til at fortsætte driften afhænger primært af den økonomiske gennemførlighed, tekniske muligheder og lethed ved at etablere ny infrastruktur, bemærker han. "Da ransomware-modellen forbliver rentabel, og den juridiske indsats ikke specifikt har rettet sig mod individerne og den underliggende struktur af disse kriminelle operationer, bliver det en udfordring fuldstændig at neutralisere ethvert malware-netværk som dette."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback