Το κακόβουλο λογισμικό Qakbot επέστρεψε λιγότερο από τέσσερις μήνες αφότου οι αμερικανικές και διεθνείς αρχές επιβολής του νόμου εξάρθρωσαν την υποδομή διανομής του σε μια ευρέως χαιρετισμένη επιχείρηση που ονομάστηκε "Duck Hunt. "
Τις τελευταίες ημέρες, αρκετοί προμηθευτές ασφάλειας ανέφεραν ότι είδαν το κακόβουλο λογισμικό να διανέμεται μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος που στοχεύουν οργανισμούς στον τομέα της φιλοξενίας. Προς το παρόν, ο όγκος των email φαίνεται να είναι σχετικά χαμηλός. Όμως, δεδομένης της επιμονής που έχουν δείξει οι χειριστές Qakbot στο παρελθόν, πιθανότατα δεν θα αργήσει πολύς χρόνος για να αυξηθεί ξανά ο όγκος.
Χαμηλοί όγκοι — Μέχρι στιγμής
Η ομάδα πληροφοριών απειλών της Microsoft υπολόγισε ότι η νέα εκστρατεία ξεκίνησε στις 11 Δεκεμβρίου, με βάση μια χρονική σήμανση στο ωφέλιμο φορτίο που χρησιμοποιήθηκε στις πρόσφατες επιθέσεις. Οι στόχοι έχουν λάβει μηνύματα ηλεκτρονικού ταχυδρομείου με συνημμένο PDF από έναν χρήστη που υποτίθεται ότι είναι υπάλληλος στο IRS, δήλωσε η εταιρεία στο πολλές αναρτήσεις στο Χ, η πλατφόρμα που ήταν παλαιότερα γνωστή ως Twitter. "Το PDF περιείχε μια διεύθυνση URL που κατεβάζει ένα ψηφιακά υπογεγραμμένο Windows Installer (.msi)", δημοσίευσε η Microsoft. "Η εκτέλεση του MSI οδήγησε στην επίκληση του Qakbot χρησιμοποιώντας την εκτέλεση εξαγωγής "hvsi" ενός ενσωματωμένου DLL." Οι ερευνητές περιέγραψαν την έκδοση Qakbot που διανέμει ο ηθοποιός της απειλής στη νέα καμπάνια ως μια εκδοχή που δεν είχε δει στο παρελθόν.
Ο Zscaler παρατήρησε επίσης το κακόβουλο λογισμικό που εμφανίστηκε. Σε ανάρτηση στο Χ, η εταιρεία αναγνώρισε τη νέα έκδοση ως 64-bit, χρησιμοποιώντας AES για κρυπτογράφηση δικτύου και αποστολή αιτημάτων POST σε μια συγκεκριμένη διαδρομή σε παραβιασμένα συστήματα. Το Proofpoint επιβεβαίωσε παρόμοιες παρατηρήσεις μια μέρα αργότερα, σημειώνοντας επίσης ότι τα PDF στην τρέχουσα καμπάνια έχουν διανεμηθεί τουλάχιστον από τις 28 Νοεμβρίου.
Μακροχρόνια διαδεδομένη απειλή
Το Qakbot είναι ιδιαίτερα επιβλαβές κακόβουλο λογισμικό που κυκλοφορεί τουλάχιστον από το 2007. Οι συντάκτες του χρησιμοποίησαν αρχικά το κακόβουλο λογισμικό ως τραπεζικό Trojan, αλλά τα τελευταία χρόνια στράφηκαν σε ένα μοντέλο κακόβουλου λογισμικού ως υπηρεσία. Οι φορείς απειλών συνήθως έχουν διανείμει το κακόβουλο λογισμικό μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος και τα μολυσμένα συστήματα συνήθως γίνονται μέρος ενός μεγαλύτερου botnet. Στο ώρα της κατάργησης Τον Αύγουστο, οι αρχές επιβολής του νόμου εντόπισαν έως και 700,000 συστήματα μολυσμένα με Qakbot παγκοσμίως, περίπου 200,000 από τα οποία βρίσκονταν στις ΗΠΑ.
Οι συνδεδεμένοι με το Qakbot ηθοποιοί το χρησιμοποιούν όλο και περισσότερο ως όχημα για να εγκαταλείψουν άλλα κακόβουλα προγράμματα, κυρίως το Cobalt Strike, Brute Ratel, και ένα πλήθος ransomware. Σε πολλές περιπτώσεις, οι μεσίτες αρχικής πρόσβασης χρησιμοποίησαν το Qakbot για να αποκτήσουν πρόσβαση σε ένα δίκτυο-στόχο και αργότερα πούλησαν αυτήν την πρόσβαση σε άλλους παράγοντες απειλής. «Οι μολύνσεις από το QakBot είναι ιδιαίτερα γνωστό ότι προηγούνται της ανάπτυξης ανθρώπινου ransomware, συμπεριλαμβανομένων των Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal και PwndLocker. Οργανισμός Ασφάλειας στον κυβερνοχώρο και υποδομή των ΗΠΑ σημείωσε σε δήλωση που ανακοίνωσε την κατάργηση από τις αρχές επιβολής του νόμου νωρίτερα φέτος.
Επιβράδυνση μόνο κατάργησης Qakbot
Οι πρόσφατες παρατηρήσεις κακόβουλου λογισμικού Qakbot φαίνεται να επιβεβαιώνουν αυτό που ανέφεραν ορισμένοι πωλητές τους τελευταίους μήνες: η κατάργηση από τις αρχές επιβολής του νόμου είχε μικρότερο αντίκτυπο στους ηθοποιούς του Quakbot από ό,τι γενικά γίνεται αντιληπτό.
Τον Οκτώβριο, για παράδειγμα, οι κυνηγοί απειλών στο Cisco Talos ανέφερε ότι ηθοποιοί που συνδέονται με το Qakbot συνέχιζαν να διανέμουν το ransomware Remcos backdoor και Ransom Knight τις εβδομάδες και τους μήνες μετά την κατάσχεση της υποδομής Qakbot από το FBI. Ο ερευνητής ασφαλείας του Talos, Guilherme Venere, θεώρησε ότι ως ένδειξη ότι η επιχείρηση επιβολής του νόμου του Αυγούστου μπορεί να είχε αφαιρέσει μόνο τους διακομιστές εντολής και ελέγχου του Qakbot και όχι τους μηχανισμούς παράδοσης ανεπιθύμητων μηνυμάτων.
«Αν και δεν έχουμε δει τους παράγοντες απειλών να διανέμουν το ίδιο το Qakbot μετά την κατάργηση της υποδομής, εκτιμούμε ότι το κακόβουλο λογισμικό θα συνεχίσει να αποτελεί σημαντική απειλή προς τα εμπρός», δήλωσε ο Venere εκείνη την εποχή. «Το θεωρούμε πιθανό καθώς οι προγραμματιστές δεν συνελήφθησαν και εξακολουθούν να λειτουργούν, ανοίγοντας την πιθανότητα να επιλέξουν να ξαναχτίσουν την υποδομή Qakbot».
Η εταιρεία ασφαλείας Lumu είπε ότι καταμέτρησε συνολικά 1,581 απόπειρες επιθέσεων σε πελάτες της τον Σεπτέμβριο που αποδίδονταν στο Qakbot. Τους επόμενους μήνες, η δραστηριότητα παρέμεινε λίγο πολύ στα ίδια επίπεδα, σύμφωνα με την εταιρεία. Οι περισσότερες επιθέσεις έχουν στοχεύσει οργανισμούς στους τομείς της οικονομίας, της μεταποίησης, της εκπαίδευσης και της κυβέρνησης.
Η συνεχής διανομή του κακόβουλου λογισμικού από την ομάδα απειλών δείχνει ότι κατάφερε να αποφύγει σημαντικές συνέπειες, λέει ο CEO της Lumu, Ricardo Villadiego. Η ικανότητα του ομίλου να συνεχίσει να λειτουργεί εξαρτάται κυρίως από την οικονομική σκοπιμότητα, τις τεχνικές δυνατότητες και την ευκολία δημιουργίας νέων υποδομών, σημειώνει. «Δεδομένου ότι το μοντέλο ransomware παραμένει κερδοφόρο και οι νομικές προσπάθειες δεν έχουν στοχεύσει συγκεκριμένα τα άτομα και την υποκείμενη δομή αυτών των εγκληματικών ενεργειών, καθίσταται πρόκληση η πλήρης εξουδετέρωση οποιουδήποτε δικτύου κακόβουλου λογισμικού όπως αυτό».
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback
- :έχει
- :είναι
- :δεν
- $UP
- 000
- 1
- 11
- 200
- 28
- 7
- 700
- a
- ικανότητα
- πρόσβαση
- Σύμφωνα με
- δραστηριότητα
- φορείς
- AES
- Μετά το
- πάλι
- Επίσης
- an
- και
- και την υποδομή
- Ανακοίνωση
- κάθε
- εμφανίζομαι
- ΕΙΝΑΙ
- γύρω
- συνελήφθη
- AS
- εκτιμώ
- At
- Επιθέσεις
- προσπάθεια
- Αύγουστος
- Αρχές
- συγγραφείς
- πίσω
- κερκόπορτα
- Τράπεζες
- βασίζονται
- BE
- γίνονται
- γίνεται
- ήταν
- πριν
- ξεκίνησε
- είναι
- μεγαλύτερος
- Μαύρη
- botnet
- μεσίτες
- αλλά
- Εκστρατεία
- δυνατότητες
- Διευθύνων Σύμβουλος
- πρόκληση
- Επιλέξτε
- Κοβάλτιο
- εταίρα
- εντελώς
- Συμβιβασμένος
- Επιβεβαιώνω
- ΕΠΙΒΕΒΑΙΩΜΕΝΟΣ
- Συνέπειες
- που περιέχονται
- Conti
- ΣΥΝΕΧΕΙΑ
- συνέχισε
- συνεχίζοντας
- εγκληματίας
- Ρεύμα
- Πελάτες
- Κυβερνασφάλεια
- ημέρα
- Ημ.
- Δεκέμβριος
- ανάπτυξη
- περιγράφεται
- προγραμματιστές
- ψηφιακά
- διανέμω
- διανέμονται
- διανομή
- διανομή
- λήψεις
- Πτώση
- μεταγλωττισμένο
- Νωρίτερα
- ευκολία
- Οικονομικός
- Εκπαίδευση
- προσπάθειες
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- ενσωματωμένο
- Υπάλληλος
- κρυπτογράφηση
- επιβολή
- δημιουργία
- αναμενόμενη
- διαφυγής
- εκτέλεσης
- εκτέλεση
- εξαγωγή
- FBI
- σκοπιμότητα
- χρηματοδότηση
- Εταιρεία
- Εξής
- Για
- προηγουμένως
- Προς τα εμπρός
- τέσσερα
- από
- Κέρδος
- γενικά
- δεδομένου
- Κυβέρνηση
- Group
- είχε
- Έχω
- επίνειο
- he
- μεντεσέδες
- φιλοξενία
- HTTPS
- προσδιορίζονται
- Επίπτωση
- in
- Συμπεριλαμβανομένου
- όλο και περισσότερο
- υποδηλώνει
- άτομα
- λοιμώξεις
- Υποδομή
- αρχικός
- παράδειγμα
- Νοημοσύνη
- International
- επικαλείται
- IRS
- IT
- ΤΟΥ
- εαυτό
- jpg
- Ιππότης
- γνωστός
- αργότερα
- Νόμος
- επιβολή του νόμου
- ελάχιστα
- Led
- Νομικά
- μείον
- Επίπεδο
- Μου αρέσει
- Πιθανός
- που βρίσκεται
- Μακριά
- Χαμηλός
- malware
- διαχειρίζεται
- κατασκευής
- πολοί
- Ενδέχεται..
- μηχανισμούς
- Microsoft
- μοντέλο
- στιγμή
- μήνες
- περισσότερο
- πλέον
- κίνηση
- MSI
- δίκτυο
- Νέα
- ιδιαίτερα
- Σημειώνεται
- Notes
- σημειώνοντας
- Νοέμβριος
- Οκτώβριος
- of
- on
- αποκλειστικά
- άνοιγμα
- λειτουργίας
- λειτουργία
- επιχειρήσεων
- λειτουργίες
- φορείς
- or
- οργανώσεις
- αρχικά
- ΑΛΛΑ
- έξω
- μέρος
- ιδιαίτερα
- Το παρελθόν
- μονοπάτι
- γινεται αντιληπτο
- Phishing
- Επιλογές
- πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- ενέχουν
- δυνατότητα
- Θέση
- δημοσιεύτηκε
- Δημοσιεύσεις
- προηγουμένως
- πρωτίστως
- επικερδής
- Λύτρα
- ransomware
- έλαβε
- πρόσφατος
- σχετικά
- παρέμεινε
- λείψανα
- αναφέρθηκαν
- αιτήματα
- ερευνητής
- ερευνητές
- r Κακό
- βασιλικός
- s
- Είπε
- ίδιο
- πριόνι
- λέει
- τομέας
- Τομείς
- ασφάλεια
- δείτε
- βλέποντας
- δει
- Κατάσχεση
- αποστολή
- Σεπτέμβριος
- Διακομιστές
- διάφοροι
- παρουσιάζεται
- υπογράψουν
- υπογραφεί
- σημαντικός
- παρόμοιες
- αφού
- So
- πωλούνται
- μερικοί
- συγκεκριμένες
- ειδικά
- Δήλωση
- Ακόμη
- απεργία
- δομή
- μεταγενέστερος
- συστήματα
- λαμβάνεται
- Τάλως
- στόχος
- στοχευμένες
- στόχους
- Τεχνικός
- από
- ότι
- Η
- ο νόμος
- Αυτοί
- αυτοί
- αυτό
- φέτος
- αν και?
- απειλή
- απειλή
- ώρα
- timestamp
- προς την
- Σύνολο
- Trojan
- Τουίτερ
- συνήθως
- υποκείμενες
- URL
- us
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιώντας
- συνήθως
- όχημα
- πωλητές
- εκδοχή
- μέσω
- τόμος
- όγκους
- ήταν
- we
- Εβδ.
- ΛΟΙΠΌΝ
- ήταν
- Τι
- Ποιό
- ενώ
- ευρέως
- θα
- παράθυρα
- με
- Κέρδισε
- παγκόσμιος
- X
- έτος
- χρόνια
- zephyrnet