תצפיות בקבוט מאשרות שההסרה של אכיפת החוק הייתה רק נסיגה

תצפיות בקבוט מאשרות שההסרה של אכיפת החוק הייתה רק נסיגה

חותמת זמן: 19 בדצמבר, 2023 6:05
תצפיות Qakbot מאשרות שההסרה של אכיפת החוק הייתה רק נסיגה במודיעין PlatoBlockchain. חיפוש אנכי. איי.

תוכנת זדונית Qakbot חזרה פחות מארבעה חודשים לאחר שרשויות אכיפת החוק בארה"ב והבינלאומיות פירקו את תשתית ההפצה שלה במבצע שזכה לשבחים רבים שזכה לכינוי "ציד ברווזים".

בימים האחרונים, מספר ספקי אבטחה דיווחו שראו את התוכנה הזדונית מופצת באמצעות מיילים דיוגים המכוונים לארגונים במגזר האירוח. לעת עתה נראה כי נפחי הדוא"ל נמוכים יחסית. אבל בהתחשב בעקשנות שהפגינו מפעילי Qakbot בעבר, סביר להניח שלא יעבור זמן רב עד שהווליום יתגבר שוב.

נפחים נמוכים - עד כה

קבוצת מודיעין האיומים של מיקרוסופט העריכה שהקמפיין החדש החל ב-11 בדצמבר, בהתבסס על חותמת זמן במטען ששימש בהתקפות האחרונות. מטרות קיבלו מיילים עם קובץ PDF מצורף ממשתמש המתיימר להיות עובד ב-IRS, אמרה החברה ב מספר פוסטים ב-X, הפלטפורמה שנודעה בעבר בשם טוויטר. "ה-PDF הכיל כתובת URL שמורידה מערכת Windows Installer חתומה דיגיטלית (.msi)", פרסמה מיקרוסופט. "ביצוע ה-MSI הוביל להפעלת Qakbot באמצעות ביצוע 'hvsi' לייצוא של DLL מוטבע." החוקרים תיארו את גרסת הקבוט ששחקן האיום מפיץ בקמפיין החדש כגרסה שלא נראתה בעבר.

Zscaler צפה גם בתוכנה התוכנה הזדונית. בפוסט ב-X, החברה זיהה את הגרסה החדשה כ-64 סיביות, באמצעות AES להצפנת רשת ושליחת בקשות POST לנתיב ספציפי במערכות שנפרצות. Proofpoint אישרה תצפיות דומות יום לאחר מכן תוך ציון גם שקובצי ה-PDF בקמפיין הנוכחי הופצו לפחות מאז ה-28 בנובמבר.

איום רווח זמן רב

Qakbot היא תוכנה זדונית מזיקה במיוחד שקיימת לפחות מאז 2007. מחבריה השתמשו במקור בתוכנה זדונית בתור טרויאני בנקאי, אך בשנים האחרונות הפכו למודל של תוכנות זדוניות כשירות. שחקני איומים בדרך כלל הפיצו את התוכנה הזדונית באמצעות דואר דיוג, ומערכות נגועות הופכות בדרך כלל לחלק מרשת בוט גדולה יותר. ב זמן ההסרה באוגוסט, רשויות אכיפת החוק זיהו לא פחות מ-700,000 מערכות נגועות בקבוט ברחבי העולם, כ-200,000 מהן היו ממוקמות בארה"ב.

שחקנים הקשורים ל-Qakbot השתמשו בו יותר ויותר ככלי להורדת תוכנות זדוניות אחרות, בעיקר Cobalt Strike, ראטל אכזרי, ושלל תוכנות כופר. במקרים רבים, מתווכים של גישה ראשונית השתמשו ב- Qakbot כדי לקבל גישה לרשת יעד ומאוחר יותר מכרו את הגישה הזו לגורמי איומים אחרים. "הדבקות ב-QakBot ידועות במיוחד כמקדימות את הפריסה של תוכנות כופר המופעלות על ידי אדם, כולל Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal ו-PwndLocker." הסוכנות האמריקאית לאבטחת סייבר ותשתיות צוין בהודעה שהודיעה על הסרת אכיפת החוק מוקדם יותר השנה.

ההסרה רק האטה את קבוט

נראה שהתצפיות האחרונות של תוכנות זדוניות של Qakbot מאשרות את מה שחלק מהספקים דיווחו בחודשים האחרונים: ההסרה של רשויות החוק השפיעה פחות על שחקני Quakbot מכפי שנתפס בדרך כלל.

באוקטובר, למשל, ציידי איומים ב סיסקו טלוס דיווח כי שחקנים המזוהים עם קבוט ממשיכים להפיץ את הדלת האחורית של Remcos ואת תוכנת הכופר Ransom Knight בשבועות ובחודשים שלאחר תפיסת תשתית קבוט על ידי ה-FBI. חוקר האבטחה של Talos, Guilherme Venere, ראה כי סימן לכך שמבצע אכיפת החוק של אוגוסט הוציא רק את שרתי הפיקוד והבקרה של Qakbot ולא את מנגנוני משלוח הספאם שלו.

"למרות שלא ראינו את גורמי האיום שמפיצים את Qakbot בעצמו לאחר הסרת התשתית, אנו מעריכים שהתוכנה הזדונית תמשיך להוות איום משמעותי קדימה", אמר וונרה אז. "אנו רואים בכך סבירות מכיוון שהיזמים לא נעצרו והם עדיין פעילים, מה שפותח את האפשרות שהם עשויים לבחור לבנות מחדש את תשתית הקבוט".

חברת האבטחה Lumu אמרה כי היא ספרה בסך הכל 1,581 ניסיונות התקפות על לקוחותיה בספטמבר שניתן לייחס לקבוט. בחודשים שלאחר מכן, הפעילות נותרה פחות או יותר באותה רמה, לדברי החברה. רוב ההתקפות כוונו לארגונים במגזרי פיננסים, ייצור, חינוך וממשל.

המשך ההפצה של קבוצת האיומים של התוכנה הזדונית מצביעה על כך שהיא הצליחה להתחמק מהשלכות משמעותיות, אומר מנכ"ל לומו, ריקרדו וילדיאגו. יכולתה של הקבוצה להמשיך לפעול תלויה בעיקר בהיתכנות כלכלית, ביכולות הטכניות ובקלות של הקמת תשתית חדשה, הוא מציין. "מכיוון שמודל תוכנת הכופר נותר רווחי והמאמצים המשפטיים לא מכוונים ספציפית ליחידים ולמבנה הבסיסי של פעולות פליליות אלה, זה הופך להיות מאתגר לנטרל לחלוטין כל רשת תוכנות זדוניות כמו זו."

בול זמן:

עוד מ קריאה אפלה