Qakbot Sightings kinnitab, et õiguskaitseorganite eemaldamine oli vaid tagasilöök

Qakboti pahavara on tagasi vähem kui neli kuud pärast seda, kui USA ja rahvusvahelised õiguskaitseorganid lammutasid selle levitamise infrastruktuuri laialdaselt kiidetud operatsiooniga, mille nimi on "Duck Hunt. "

Viimastel päevadel on mitmed turbemüüjad teatanud, et pahavara levitatakse andmepüügimeilide kaudu, mis on suunatud majutussektori organisatsioonidele. Praegu tundub meilide maht olevat suhteliselt väike. Kuid arvestades sitkust, mida Qakboti operaatorid on varem näidanud, ei lähe tõenäoliselt kaua aega, enne kui helitugevus taas tõuseb.

Madalad mahud — seni

Microsofti ohuluurerühm on prognoosinud, et uus kampaania algas 11. detsembril, tuginedes hiljutistes rünnakutes kasutatud kasuliku koormuse ajatemplile. Sihtmärgid on saanud PDF-manusega e-kirju kasutajalt, kes väidetavalt on IRSi töötaja, teatas ettevõte mitu postitust X-lplatvorm, varem tuntud kui Twitter. "PDF sisaldas URL-i, mis laadib alla digitaalselt allkirjastatud Windows Installeri (.msi)," postitas Microsoft. "MSI käivitamine tõi kaasa Qakbot'i käivitamise, kasutades manustatud DLL-i ekspordi"hvsi" täitmist." Uurijad kirjeldasid Qakboti versiooni, mida ohunäitleja uues kampaanias levitab, kui seninägematut versiooni.

Zscaler jälgis ka pahavara esilekerkimist. Postituses teemal X, ettevõte tuvastas uue versiooni 64-bitisena, kasutades AES-i võrgu krüptimiseks ja POST-päringute saatmiseks ohustatud süsteemides kindlale teele. Proofpoint kinnitas sarnaseid vaateid päev hiljem, märkides samas, et praeguse kampaania PDF-e on levitatud vähemalt alates 28. novembrist.

Pikaajaline oht

Qakbot on eriti mürgine pahavara, mis on olnud kasutusel vähemalt aastast 2007. Selle autorid kasutasid pahavara algselt pangatroojalasena, kuid viimastel aastatel on nad pöördunud pahavara kui teenuse mudeli poole. Tavaliselt on ohustajad levitanud pahavara andmepüügimeilide kaudu ja nakatunud süsteemid muutuvad tavaliselt osaks suuremast robotvõrgust. Juures mahavõtmise aeg augustis tuvastasid õiguskaitseorganid kogu maailmas 700,000 200,000 Qakbotiga nakatunud süsteemi, millest umbes XNUMX XNUMX asus USA-s.

Qakbotiga seotud näitlejad on seda üha enam kasutanud vahendina muu pahavara, eriti Cobalt Strike'i, eemaldamiseks. jõhker Ratel, ja hulk lunavara. Paljudel juhtudel on esialgsed juurdepääsuvahendajad kasutanud Qakbotit sihtvõrgule juurdepääsu saamiseks ja hiljem müünud ​​selle juurdepääsu teistele ohus osalejatele. "On teada, et QakBot-nakkused eelnevad eriti inimese juhitava lunavara kasutuselevõtule, sealhulgas Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal ja PwndLocker," USA küberturvalisuse ja infrastruktuuri turvaagentuur märgiti avalduses, milles teatati selle aasta alguses toimunud õiguskaitseorganite eemaldamisest.

Ainult eemaldamine aeglustunud Qakbot

Hiljutised Qakboti pahavara vaatlused näivad kinnitavat seda, mida mõned müüjad on viimastel kuudel teatanud: õiguskaitseorganite eemaldamine avaldas Quakboti osalejatele vähem mõju, kui üldiselt arvati.

Oktoobris näiteks ohukütid kl Cisco Talos teatasid, et Qakbotiga seotud näitlejad jätkasid Remcose tagaukse ja Ransom Knighti lunavara levitamist nädalatel ja kuudel pärast seda, kui FBI Qakboti taristu arestis. Talose turvateadlane Guilherme Venere pidas seda märgiks, et Augusti korrakaitseoperatsioon võis eemaldada ainult Qakboti käsu- ja juhtimisserverid, mitte rämpsposti edastamise mehhanismid.

"Kuigi me ei ole näinud ohutegureid, kes pärast infrastruktuuri eemaldamist Qakbotit ise levitavad, on meie hinnangul ründevara jätkuvalt oluline oht," ütles Venere toona. "Me näeme seda tõenäolisena, kuna arendajaid ei vahistatud ja nad on endiselt töös, avades võimaluse, et nad võivad otsustada Qakboti taristu ümber ehitada."

Turvafirma Lumu teatas, et septembris loeti kokku 1,581 rünnakukatset oma klientide vastu, mis olid seotud Qakbotiga. Järgnevatel kuudel on aktiivsus ettevõtte hinnangul püsinud enam-vähem samal tasemel. Enamik rünnakuid on suunatud finants-, tootmis-, haridus- ja valitsussektori organisatsioonidele.

Lumu tegevjuht Ricardo Villadiego ütleb, et ohugrupi jätkuv pahavara levitamine viitab sellele, et sellel õnnestus olulistest tagajärgedest kõrvale hiilida. Ta märgib, et kontserni suutlikkus edasi tegutseda sõltub eelkõige majanduslikust otstarbekusest, tehnilistest võimalustest ja uue taristu rajamise lihtsusest. "Kuna lunavaramudel on endiselt kasumlik ja juriidilised jõupingutused ei ole konkreetselt suunatud isikutele ja nende kuritegelike toimingute aluseks olevale struktuurile, muutub sellise pahavaravõrgu täielik neutraliseerimine keeruliseks."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback