Το Qakbot Sightings επιβεβαιώνει ότι η κατάργηση της επιβολής του νόμου ήταν απλώς μια οπισθοδρόμηση

Το Qakbot Sightings επιβεβαιώνει ότι η κατάργηση της επιβολής του νόμου ήταν απλώς μια οπισθοδρόμηση

Χρονική σήμανση: 19 Δεκεμβρίου 2023 6:05 μ.μ.
Το Qakbot Sightings επιβεβαιώνει ότι η κατάργηση της επιβολής του νόμου ήταν απλώς μια οπισθοδρόμηση στην ευφυΐα δεδομένων PlatoBlockchain. Κάθετη αναζήτηση. Ολα συμπεριλαμβάνονται.

Το κακόβουλο λογισμικό Qakbot επέστρεψε λιγότερο από τέσσερις μήνες αφότου οι αμερικανικές και διεθνείς αρχές επιβολής του νόμου εξάρθρωσαν την υποδομή διανομής του σε μια ευρέως χαιρετισμένη επιχείρηση που ονομάστηκε "Duck Hunt. "

Τις τελευταίες ημέρες, αρκετοί προμηθευτές ασφάλειας ανέφεραν ότι είδαν το κακόβουλο λογισμικό να διανέμεται μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος που στοχεύουν οργανισμούς στον τομέα της φιλοξενίας. Προς το παρόν, ο όγκος των email φαίνεται να είναι σχετικά χαμηλός. Όμως, δεδομένης της επιμονής που έχουν δείξει οι χειριστές Qakbot στο παρελθόν, πιθανότατα δεν θα αργήσει πολύς χρόνος για να αυξηθεί ξανά ο όγκος.

Χαμηλοί όγκοι — Μέχρι στιγμής

Η ομάδα πληροφοριών απειλών της Microsoft υπολόγισε ότι η νέα εκστρατεία ξεκίνησε στις 11 Δεκεμβρίου, με βάση μια χρονική σήμανση στο ωφέλιμο φορτίο που χρησιμοποιήθηκε στις πρόσφατες επιθέσεις. Οι στόχοι έχουν λάβει μηνύματα ηλεκτρονικού ταχυδρομείου με συνημμένο PDF από έναν χρήστη που υποτίθεται ότι είναι υπάλληλος στο IRS, δήλωσε η εταιρεία στο πολλές αναρτήσεις στο Χ, η πλατφόρμα που ήταν παλαιότερα γνωστή ως Twitter. "Το PDF περιείχε μια διεύθυνση URL που κατεβάζει ένα ψηφιακά υπογεγραμμένο Windows Installer (.msi)", δημοσίευσε η Microsoft. "Η εκτέλεση του MSI οδήγησε στην επίκληση του Qakbot χρησιμοποιώντας την εκτέλεση εξαγωγής "hvsi" ενός ενσωματωμένου DLL." Οι ερευνητές περιέγραψαν την έκδοση Qakbot που διανέμει ο ηθοποιός της απειλής στη νέα καμπάνια ως μια εκδοχή που δεν είχε δει στο παρελθόν.

Ο Zscaler παρατήρησε επίσης το κακόβουλο λογισμικό που εμφανίστηκε. Σε ανάρτηση στο Χ, η εταιρεία αναγνώρισε τη νέα έκδοση ως 64-bit, χρησιμοποιώντας AES για κρυπτογράφηση δικτύου και αποστολή αιτημάτων POST σε μια συγκεκριμένη διαδρομή σε παραβιασμένα συστήματα. Το Proofpoint επιβεβαίωσε παρόμοιες παρατηρήσεις μια μέρα αργότερα, σημειώνοντας επίσης ότι τα PDF στην τρέχουσα καμπάνια έχουν διανεμηθεί τουλάχιστον από τις 28 Νοεμβρίου.

Μακροχρόνια διαδεδομένη απειλή

Το Qakbot είναι ιδιαίτερα επιβλαβές κακόβουλο λογισμικό που κυκλοφορεί τουλάχιστον από το 2007. Οι συντάκτες του χρησιμοποίησαν αρχικά το κακόβουλο λογισμικό ως τραπεζικό Trojan, αλλά τα τελευταία χρόνια στράφηκαν σε ένα μοντέλο κακόβουλου λογισμικού ως υπηρεσία. Οι φορείς απειλών συνήθως έχουν διανείμει το κακόβουλο λογισμικό μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος και τα μολυσμένα συστήματα συνήθως γίνονται μέρος ενός μεγαλύτερου botnet. Στο ώρα της κατάργησης Τον Αύγουστο, οι αρχές επιβολής του νόμου εντόπισαν έως και 700,000 συστήματα μολυσμένα με Qakbot παγκοσμίως, περίπου 200,000 από τα οποία βρίσκονταν στις ΗΠΑ.

Οι συνδεδεμένοι με το Qakbot ηθοποιοί το χρησιμοποιούν όλο και περισσότερο ως όχημα για να εγκαταλείψουν άλλα κακόβουλα προγράμματα, κυρίως το Cobalt Strike, Brute Ratel, και ένα πλήθος ransomware. Σε πολλές περιπτώσεις, οι μεσίτες αρχικής πρόσβασης χρησιμοποίησαν το Qakbot για να αποκτήσουν πρόσβαση σε ένα δίκτυο-στόχο και αργότερα πούλησαν αυτήν την πρόσβαση σε άλλους παράγοντες απειλής. «Οι μολύνσεις από το QakBot είναι ιδιαίτερα γνωστό ότι προηγούνται της ανάπτυξης ανθρώπινου ransomware, συμπεριλαμβανομένων των Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal και PwndLocker. Οργανισμός Ασφάλειας στον κυβερνοχώρο και υποδομή των ΗΠΑ σημείωσε σε δήλωση που ανακοίνωσε την κατάργηση από τις αρχές επιβολής του νόμου νωρίτερα φέτος.

Επιβράδυνση μόνο κατάργησης Qakbot

Οι πρόσφατες παρατηρήσεις κακόβουλου λογισμικού Qakbot φαίνεται να επιβεβαιώνουν αυτό που ανέφεραν ορισμένοι πωλητές τους τελευταίους μήνες: η κατάργηση από τις αρχές επιβολής του νόμου είχε μικρότερο αντίκτυπο στους ηθοποιούς του Quakbot από ό,τι γενικά γίνεται αντιληπτό.

Τον Οκτώβριο, για παράδειγμα, οι κυνηγοί απειλών στο Cisco Talos ανέφερε ότι ηθοποιοί που συνδέονται με το Qakbot συνέχιζαν να διανέμουν το ransomware Remcos backdoor και Ransom Knight τις εβδομάδες και τους μήνες μετά την κατάσχεση της υποδομής Qakbot από το FBI. Ο ερευνητής ασφαλείας του Talos, Guilherme Venere, θεώρησε ότι ως ένδειξη ότι η επιχείρηση επιβολής του νόμου του Αυγούστου μπορεί να είχε αφαιρέσει μόνο τους διακομιστές εντολής και ελέγχου του Qakbot και όχι τους μηχανισμούς παράδοσης ανεπιθύμητων μηνυμάτων.

«Αν και δεν έχουμε δει τους παράγοντες απειλών να διανέμουν το ίδιο το Qakbot μετά την κατάργηση της υποδομής, εκτιμούμε ότι το κακόβουλο λογισμικό θα συνεχίσει να αποτελεί σημαντική απειλή προς τα εμπρός», δήλωσε ο Venere εκείνη την εποχή. «Το θεωρούμε πιθανό καθώς οι προγραμματιστές δεν συνελήφθησαν και εξακολουθούν να λειτουργούν, ανοίγοντας την πιθανότητα να επιλέξουν να ξαναχτίσουν την υποδομή Qakbot».

Η εταιρεία ασφαλείας Lumu είπε ότι καταμέτρησε συνολικά 1,581 απόπειρες επιθέσεων σε πελάτες της τον Σεπτέμβριο που αποδίδονταν στο Qakbot. Τους επόμενους μήνες, η δραστηριότητα παρέμεινε λίγο πολύ στα ίδια επίπεδα, σύμφωνα με την εταιρεία. Οι περισσότερες επιθέσεις έχουν στοχεύσει οργανισμούς στους τομείς της οικονομίας, της μεταποίησης, της εκπαίδευσης και της κυβέρνησης.

Η συνεχής διανομή του κακόβουλου λογισμικού από την ομάδα απειλών δείχνει ότι κατάφερε να αποφύγει σημαντικές συνέπειες, λέει ο CEO της Lumu, Ricardo Villadiego. Η ικανότητα του ομίλου να συνεχίσει να λειτουργεί εξαρτάται κυρίως από την οικονομική σκοπιμότητα, τις τεχνικές δυνατότητες και την ευκολία δημιουργίας νέων υποδομών, σημειώνει. «Δεδομένου ότι το μοντέλο ransomware παραμένει κερδοφόρο και οι νομικές προσπάθειες δεν έχουν στοχεύσει συγκεκριμένα τα άτομα και την υποκείμενη δομή αυτών των εγκληματικών ενεργειών, καθίσταται πρόκληση η πλήρης εξουδετέρωση οποιουδήποτε δικτύου κακόβουλου λογισμικού όπως αυτό».

Σφραγίδα ώρας:

Περισσότερα από Σκοτεινή ανάγνωση