بدافزار Qakbot کمتر از چهار ماه پس از آن بازگشت که مقامات مجری قانون ایالات متحده و بینالمللی زیرساخت توزیع آن را در عملیاتی با استقبال گسترده به نام «برچیده کردند.اردک شکار"
در روزهای اخیر، چندین فروشنده امنیتی گزارش دادهاند که این بدافزار را از طریق ایمیلهای فیشینگ که سازمانهای بخش مهماننوازی را هدف قرار میدهند، توزیع شده است. در حال حاضر، به نظر می رسد حجم ایمیل نسبتاً کم است. اما با توجه به سرسختی که اپراتورهای Qakbot در گذشته نشان دادهاند، احتمالا طولی نمیکشد که دوباره صدا افزایش یابد.
حجم کم - تاکنون
گروه اطلاعاتی تهدید مایکروسافت تخمین زده است که کمپین جدید از 11 دسامبر بر اساس مهر زمانی در بار استفاده شده در حملات اخیر آغاز شده است. این شرکت در بیانیهای اعلام کرد که هدفها ایمیلهایی با پیوست PDF از کاربری دریافت کردهاند که مدعی است کارمند IRS است. چندین پست در X، پلتفرمی که قبلاً توییتر نام داشت. مایکروسافت پست کرد: «PDF حاوی یک URL بود که یک Windows Installer (.msi) با امضای دیجیتال را دانلود میکند. "اجرای MSI منجر به فراخوانی Qakbot با استفاده از اجرای Export "hvsi" یک DLL تعبیه شده شد." محققان نسخه Qakbot را که عامل تهدید در کمپین جدید توزیع میکند نسخهای که قبلا دیده نشده بود توصیف کردند.
Zscaler ظاهر شدن بدافزار را نیز مشاهده کرد. در پستی در X، این شرکت نسخه جدید را شناسایی کرد به عنوان 64 بیت، با استفاده از AES برای رمزگذاری شبکه و ارسال درخواست های POST به یک مسیر خاص در سیستم های در معرض خطر. Proofpoint مشاهدات مشابه را تأیید کرد یک روز بعد در حالی که همچنین اشاره کرد که فایلهای PDF در کمپین فعلی حداقل از 28 نوامبر توزیع شده است.
تهدید طولانی مدت
Qakbot بدافزار خطرناکی است که حداقل از سال 2007 وجود داشته است. نویسندگان آن در ابتدا از بدافزار به عنوان یک تروجان بانکی استفاده می کردند اما در سال های اخیر به مدل بدافزار به عنوان یک سرویس پرداختند. عوامل تهدید معمولاً بدافزار را از طریق ایمیل های فیشینگ توزیع می کنند و سیستم های آلوده معمولاً بخشی از یک بات نت بزرگتر می شوند. در زمان حذف در ماه اوت، مجری قانون حدود 700,000 سیستم آلوده به Qakbot را در سراسر جهان شناسایی کرد که حدود 200,000 از آنها در ایالات متحده قرار داشتند.
بازیگران وابسته به Qakbot به طور فزاینده ای از آن به عنوان وسیله ای برای حذف بدافزارهای دیگر، به ویژه Cobalt Strike، استفاده کرده اند. راتل بی رحم، و تعداد زیادی باج افزار در بسیاری از موارد، کارگزاران دسترسی اولیه از Qakbot برای دسترسی به یک شبکه هدف استفاده کرده اند و بعداً آن دسترسی را به سایر عوامل تهدید فروخته اند. "آلودگیهای QakBot بهویژه پیش از استقرار باجافزارهای انسانی، از جمله Conti، ProLock، Egregor، REvil، MegaCortex، Black Basta، Royal و PwndLocker شناخته شدهاند. آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده در بیانیه ای اعلام کرد که اجرای قانون حذف در اوایل سال جاری است.
Takedown Only Slowed Qakbot
مشاهدههای اخیر بدافزار Qakbot آنچه را که برخی از فروشندگان در ماههای اخیر گزارش کردهاند تأیید میکند: حذف نیروهای مجری قانون تأثیر کمتری بر بازیگران Quakbot نسبت به آنچه تصور میشود داشته است.
به عنوان مثال، در ماه اکتبر، شکارچیان تهدید در سیسکو Talos گزارش داد که بازیگران وابسته به Qakbot به توزیع باجافزار Remcos و Ransom Knight در هفتهها و ماههای پس از توقیف زیرساختهای Qakbot توسط FBI ادامه میدهند. Guilherme Venere، محقق امنیتی Talos، این را نشانهای از این بود که عملیات اجرای قانون در ماه اوت ممکن است فقط سرورهای فرمان و کنترل Qakbot و نه مکانیسمهای ارسال هرزنامه را از بین برده باشد.
ونیر در آن زمان گفت: «اگرچه ما ندیدهایم که بازیگران تهدیدی که خود Qakbot را پس از حذف زیرساخت توزیع میکنند، اما ارزیابی میکنیم که این بدافزار همچنان یک تهدید قابل توجه در حرکت رو به جلو محسوب میشود.» ما این را محتمل می دانیم زیرا توسعه دهندگان دستگیر نشده اند و هنوز عملیاتی هستند و این امکان را ایجاد می کند که آنها ممکن است زیرساخت های Qakbot را بازسازی کنند.
شرکت امنیتی Lumu گفت که در ماه سپتامبر در مجموع 1,581 حمله به مشتریان خود را که به Qakbot نسبت داده شده است، شمارش کرده است. به گفته این شرکت، در ماههای بعدی، فعالیت کمابیش در همان سطح باقی مانده است. بیشتر حملات سازمانهایی را در بخشهای مالی، تولیدی، آموزشی و دولتی هدف قرار دادهاند.
ریکاردو ویلادیگو، مدیرعامل Lumu میگوید، توزیع مستمر بدافزار توسط گروه تهدید نشان میدهد که این بدافزار توانسته است از عواقب مهم فرار کند. او خاطرنشان می کند که توانایی گروه برای ادامه فعالیت در درجه اول به امکان اقتصادی، قابلیت های فنی و سهولت ایجاد زیرساخت های جدید بستگی دارد. از آنجایی که مدل باجافزار همچنان سودآور است و تلاشهای قانونی بهطور خاص افراد و ساختار زیربنایی این عملیاتهای مجرمانه را هدف قرار نداده است، خنثی کردن کامل هر شبکه بدافزاری مانند این چالشبرانگیز میشود.»
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback
- : دارد
- :است
- :نه
- $UP
- 000
- 1
- 11
- 200
- 28
- 7
- 700
- a
- توانایی
- دسترسی
- مطابق
- فعالیت
- بازیگران
- AES
- پس از
- از نو
- همچنین
- an
- و
- و زیرساخت
- اعلام كردن
- هر
- ظاهر شدن
- هستند
- دور و بر
- بازداشت شد
- AS
- ارزیابی کنید
- At
- حمله
- تلاش
- اوت
- مقامات
- نویسندگان
- به عقب
- درپشتی
- بانکداری
- مستقر
- BE
- شدن
- شود
- بوده
- قبل از
- آغاز شد
- بودن
- بزرگتر
- سیاه پوست
- بات نت
- کارگزاران
- اما
- کمپین بین المللی حقوق بشر
- قابلیت های
- مدیر عامل شرکت
- به چالش کشیدن
- را انتخاب کنید
- کبالت
- شرکت
- به طور کامل
- در معرض خطر
- تکرار
- تایید شده
- عواقب
- موجود
- کنتی
- ادامه دادن
- ادامه داد:
- مداوم
- کیفری
- جاری
- مشتریان
- امنیت سایبری
- روز
- روز
- دسامبر
- گسترش
- شرح داده شده
- توسعه دهندگان
- دیجیتالی
- توزیع کردن
- توزیع شده
- توزیع
- توزیع
- دانلود
- قطره
- دوبله شده
- پیش از آن
- سهولت
- اقتصادی
- آموزش
- تلاش
- پست الکترونیک
- ایمیل
- جاسازی شده
- کارمند
- رمزگذاری
- اجرای
- ایجاد
- برآورد
- فرار کردن
- اجرا کردن
- اعدام
- صادرات
- اف بی آی
- امکان پذیری
- سرمایه گذاری
- شرکت
- پیروی
- برای
- سابق
- به جلو
- چهار
- از جانب
- افزایش
- عموما
- داده
- دولت
- گروه
- بود
- آیا
- پناهگاه
- he
- لولا
- مهمان نوازی
- HTTPS
- شناسایی
- تأثیر
- in
- از جمله
- به طور فزاینده
- نشان می دهد
- افراد
- عفونت
- شالوده
- اول
- نمونه
- اطلاعات
- بین المللی
- استناد کرد
- IRS
- IT
- ITS
- خود
- JPG
- شوالیه
- شناخته شده
- بعد
- قانون
- اجرای قانون
- کمترین
- رهبری
- قانونی
- کمتر
- سطح
- پسندیدن
- احتمالا
- واقع شده
- طولانی
- کم
- نرم افزارهای مخرب
- اداره می شود
- تولید
- بسیاری
- ممکن است..
- مکانیسم
- مایکروسافت
- مدل
- لحظه
- ماه
- بیش
- اکثر
- متحرک
- MSI
- شبکه
- جدید
- به ویژه
- اشاره کرد
- یادداشت
- یادداشت برداری
- نوامبر
- اکتبر
- of
- on
- فقط
- افتتاح
- عملیاتی
- عمل
- قابل استفاده
- عملیات
- اپراتور
- or
- سازمان های
- در اصل
- دیگر
- خارج
- بخش
- ویژه
- گذشته
- مسیر
- ادراک شده
- فیشینگ
- کلاهبرداری
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- در برخواهد داشت
- امکان
- پست
- + نوشته شده در
- پست ها
- قبلا
- در درجه اول
- مفید
- فدیه
- باجافزار
- اخذ شده
- اخیر
- نسبتا
- باقی مانده است
- بقایای
- گزارش
- درخواست
- پژوهشگر
- محققان
- شیطان
- سلطنتی
- s
- سعید
- همان
- دید
- می گوید:
- بخش
- بخش ها
- تیم امنیت لاتاری
- دیدن
- مشاهده
- مشاهده گردید
- تصرف
- در حال ارسال
- سپتامبر
- سرور
- چند
- نشان داده شده
- امضاء
- امضاء شده
- قابل توجه
- مشابه
- پس از
- So
- فروخته شده
- برخی از
- خاص
- به طور خاص
- بیانیه
- هنوز
- ضربه
- ساختار
- متعاقب
- سیستم های
- صورت گرفته
- تالوس
- هدف
- هدف قرار
- اهداف
- فنی
- نسبت به
- که
- La
- قانون
- اینها
- آنها
- این
- در این سال
- اگر چه؟
- تهدید
- بازیگران تهدید
- زمان
- برچسب زمان
- به
- جمع
- تروجان
- توییتر
- به طور معمول
- اساسی
- URL
- us
- استفاده
- کاربر
- با استفاده از
- معمولا
- وسیله نقلیه
- فروشندگان
- نسخه
- از طريق
- حجم
- جلد
- بود
- we
- هفته
- خوب
- بود
- چی
- که
- در حین
- به طور گسترده ای
- اراده
- پنجره
- با
- برنده شد
- در سرتاسر جهان
- X
- سال
- سال
- زفیرنت