Qakbot-Sichtungen bestätigen, dass die Abschaltung durch die Strafverfolgungsbehörden nur ein Rückschlag war

Die Qakbot-Malware ist weniger als vier Monate nach der Demontage ihrer Vertriebsinfrastruktur durch US-amerikanische und internationale Strafverfolgungsbehörden in einer weithin gefeierten Operation mit dem Namen „Qakbot“ zurück.Duck Hunt"

In den letzten Tagen haben mehrere Sicherheitsanbieter berichtet, dass die Malware über Phishing-E-Mails verbreitet wurde, die auf Organisationen im Gastgewerbe abzielten. Derzeit scheint das E-Mail-Volumen relativ gering zu sein. Aber angesichts der Hartnäckigkeit, die die Qakbot-Betreiber in der Vergangenheit an den Tag gelegt haben, wird es wahrscheinlich nicht lange dauern, bis die Lautstärke wieder ansteigt.

Geringe Stückzahlen – bisher

Die Threat-Intelligence-Gruppe von Microsoft hat geschätzt, dass die neue Kampagne am 11. Dezember begonnen hat, basierend auf einem Zeitstempel in der Nutzlast, die bei den jüngsten Angriffen verwendet wurde. Die Zielpersonen hätten E-Mails mit einem PDF-Anhang von einem Benutzer erhalten, der vorgab, ein Mitarbeiter des IRS zu sein, teilte das Unternehmen mit mehrere Beiträge auf X, die Plattform, die früher als Twitter bekannt war. „Das PDF enthielt eine URL, die einen digital signierten Windows Installer (.msi) herunterlädt“, schrieb Microsoft. „Die Ausführung des MSI führte dazu, dass Qakbot mithilfe der export ‚hvsi‘-Ausführung einer eingebetteten DLL aufgerufen wurde.“ Die Forscher beschrieben die Qakbot-Version, die der Bedrohungsakteur in der neuen Kampagne verbreitet, als eine bisher ungesehene Version.

Zscaler beobachtete ebenfalls das Auftauchen der Malware. In einem Beitrag auf X, dem Unternehmen die neue Version identifiziert als 64-Bit, mit AES zur Netzwerkverschlüsselung und zum Senden von POST-Anfragen an einen bestimmten Pfad auf gefährdeten Systemen. Proofpoint bestätigte ähnliche Sichtungen einen Tag später und stellte gleichzeitig fest, dass die PDFs der aktuellen Kampagne seit mindestens dem 28. November verteilt wurden.

Seit langem vorherrschende Bedrohung

Bei Qakbot handelt es sich um eine besonders schädliche Schadsoftware, die seit mindestens 2007 im Umlauf ist. Die Autoren nutzten die Schadsoftware ursprünglich als Bank-Trojaner, wechselten aber in den letzten Jahren zu einem Malware-as-a-Service-Modell. Bedrohungsakteure haben die Malware typischerweise über Phishing-E-Mails verbreitet, und infizierte Systeme werden normalerweise Teil eines größeren Botnetzes. Bei der Zeitpunkt der Abschaltung Im August identifizierten die Strafverfolgungsbehörden weltweit bis zu 700,000 mit Qakbot infizierte Systeme, etwa 200,000 davon befanden sich in den USA.

Qakbot-nahe Akteure haben es zunehmend als Vehikel genutzt, um andere Malware zu bekämpfen, insbesondere Cobalt Strike. Brutaler Ratel, und jede Menge Ransomware. In vielen Fällen haben Erstzugangsvermittler Qakbot genutzt, um sich Zugang zu einem Zielnetzwerk zu verschaffen, und diesen Zugang später an andere Bedrohungsakteure verkauft. „Es ist besonders bekannt, dass QakBot-Infektionen dem Einsatz menschengesteuerter Ransomware vorausgehen, darunter Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal und PwndLocker“, heißt es in der Mitteilung US-Behörde für Cybersicherheit und Infrastruktursicherheit heißt es in einer Erklärung, in der Anfang des Jahres die Razzia durch die Strafverfolgungsbehörden angekündigt wurde.

Das Ausschalten hat Qakbot nur verlangsamt

Die jüngsten Sichtungen von Qakbot-Malware scheinen zu bestätigen, was einige Anbieter in den letzten Monaten berichtet haben: Die Abschaltung durch die Strafverfolgungsbehörden hatte weniger Auswirkungen auf Quakbot-Akteure als allgemein angenommen.

Im Oktober zum Beispiel, Bedrohungsjäger bei Cisco Talos berichtete, dass mit Qakbot verbundene Akteure in den Wochen und Monaten nach der Beschlagnahmung der Qakbot-Infrastruktur durch das FBI weiterhin die Remcos-Hintertür und die Ransom Knight-Ransomware verbreiteten. Der Talos-Sicherheitsforscher Guilherme Venere sah darin ein Zeichen dafür, dass die Strafverfolgungsmaßnahmen im August möglicherweise nur die Command-and-Control-Server von Qakbot und nicht dessen Spam-Versandmechanismen ausgeschaltet haben.

„Obwohl wir nach der Zerstörung der Infrastruktur nicht gesehen haben, dass die Bedrohungsakteure Qakbot selbst verbreiten, gehen wir davon aus, dass die Malware auch in Zukunft eine erhebliche Bedrohung darstellen wird“, sagte Venere damals. „Wir halten dies für wahrscheinlich, da die Entwickler nicht verhaftet wurden und immer noch einsatzbereit sind, was die Möglichkeit eröffnet, dass sie sich für den Wiederaufbau der Qakbot-Infrastruktur entscheiden.“

Das Sicherheitsunternehmen Lumu gab an, im September insgesamt 1,581 Angriffsversuche auf seine Kunden gezählt zu haben, die Qakbot zuzuschreiben seien. Nach Angaben des Unternehmens blieb die Aktivität in den folgenden Monaten mehr oder weniger auf dem gleichen Niveau. Die meisten Angriffe richteten sich gegen Organisationen im Finanz-, Produktions-, Bildungs- und Regierungssektor.

Die fortgesetzte Verbreitung der Malware durch die Bedrohungsgruppe weise darauf hin, dass es ihr gelungen sei, erhebliche Konsequenzen zu umgehen, sagt Ricardo Villadiego, CEO von Lumu. Die Fähigkeit der Gruppe, den Betrieb fortzusetzen, hänge in erster Linie von der wirtschaftlichen Machbarkeit, den technischen Fähigkeiten und der einfachen Einrichtung neuer Infrastruktur ab, betont er. „Da das Ransomware-Modell nach wie vor profitabel ist und die rechtlichen Bemühungen nicht speziell auf die Einzelpersonen und die zugrunde liegende Struktur dieser kriminellen Operationen abzielen, wird es schwierig, ein solches Malware-Netzwerk vollständig zu neutralisieren.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback