תוכנת זדונית Qakbot חזרה פחות מארבעה חודשים לאחר שרשויות אכיפת החוק בארה"ב והבינלאומיות פירקו את תשתית ההפצה שלה במבצע שזכה לשבחים רבים שזכה לכינוי "ציד ברווזים".
בימים האחרונים, מספר ספקי אבטחה דיווחו שראו את התוכנה הזדונית מופצת באמצעות מיילים דיוגים המכוונים לארגונים במגזר האירוח. לעת עתה נראה כי נפחי הדוא"ל נמוכים יחסית. אבל בהתחשב בעקשנות שהפגינו מפעילי Qakbot בעבר, סביר להניח שלא יעבור זמן רב עד שהווליום יתגבר שוב.
נפחים נמוכים - עד כה
קבוצת מודיעין האיומים של מיקרוסופט העריכה שהקמפיין החדש החל ב-11 בדצמבר, בהתבסס על חותמת זמן במטען ששימש בהתקפות האחרונות. מטרות קיבלו מיילים עם קובץ PDF מצורף ממשתמש המתיימר להיות עובד ב-IRS, אמרה החברה ב מספר פוסטים ב-X, הפלטפורמה שנודעה בעבר בשם טוויטר. "ה-PDF הכיל כתובת URL שמורידה מערכת Windows Installer חתומה דיגיטלית (.msi)", פרסמה מיקרוסופט. "ביצוע ה-MSI הוביל להפעלת Qakbot באמצעות ביצוע 'hvsi' לייצוא של DLL מוטבע." החוקרים תיארו את גרסת הקבוט ששחקן האיום מפיץ בקמפיין החדש כגרסה שלא נראתה בעבר.
Zscaler צפה גם בתוכנה התוכנה הזדונית. בפוסט ב-X, החברה זיהה את הגרסה החדשה כ-64 סיביות, באמצעות AES להצפנת רשת ושליחת בקשות POST לנתיב ספציפי במערכות שנפרצות. Proofpoint אישרה תצפיות דומות יום לאחר מכן תוך ציון גם שקובצי ה-PDF בקמפיין הנוכחי הופצו לפחות מאז ה-28 בנובמבר.
איום רווח זמן רב
Qakbot היא תוכנה זדונית מזיקה במיוחד שקיימת לפחות מאז 2007. מחבריה השתמשו במקור בתוכנה זדונית בתור טרויאני בנקאי, אך בשנים האחרונות הפכו למודל של תוכנות זדוניות כשירות. שחקני איומים בדרך כלל הפיצו את התוכנה הזדונית באמצעות דואר דיוג, ומערכות נגועות הופכות בדרך כלל לחלק מרשת בוט גדולה יותר. ב זמן ההסרה באוגוסט, רשויות אכיפת החוק זיהו לא פחות מ-700,000 מערכות נגועות בקבוט ברחבי העולם, כ-200,000 מהן היו ממוקמות בארה"ב.
שחקנים הקשורים ל-Qakbot השתמשו בו יותר ויותר ככלי להורדת תוכנות זדוניות אחרות, בעיקר Cobalt Strike, ראטל אכזרי, ושלל תוכנות כופר. במקרים רבים, מתווכים של גישה ראשונית השתמשו ב- Qakbot כדי לקבל גישה לרשת יעד ומאוחר יותר מכרו את הגישה הזו לגורמי איומים אחרים. "הדבקות ב-QakBot ידועות במיוחד כמקדימות את הפריסה של תוכנות כופר המופעלות על ידי אדם, כולל Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal ו-PwndLocker." הסוכנות האמריקאית לאבטחת סייבר ותשתיות צוין בהודעה שהודיעה על הסרת אכיפת החוק מוקדם יותר השנה.
ההסרה רק האטה את קבוט
נראה שהתצפיות האחרונות של תוכנות זדוניות של Qakbot מאשרות את מה שחלק מהספקים דיווחו בחודשים האחרונים: ההסרה של רשויות החוק השפיעה פחות על שחקני Quakbot מכפי שנתפס בדרך כלל.
באוקטובר, למשל, ציידי איומים ב סיסקו טלוס דיווח כי שחקנים המזוהים עם קבוט ממשיכים להפיץ את הדלת האחורית של Remcos ואת תוכנת הכופר Ransom Knight בשבועות ובחודשים שלאחר תפיסת תשתית קבוט על ידי ה-FBI. חוקר האבטחה של Talos, Guilherme Venere, ראה כי סימן לכך שמבצע אכיפת החוק של אוגוסט הוציא רק את שרתי הפיקוד והבקרה של Qakbot ולא את מנגנוני משלוח הספאם שלו.
"למרות שלא ראינו את גורמי האיום שמפיצים את Qakbot בעצמו לאחר הסרת התשתית, אנו מעריכים שהתוכנה הזדונית תמשיך להוות איום משמעותי קדימה", אמר וונרה אז. "אנו רואים בכך סבירות מכיוון שהיזמים לא נעצרו והם עדיין פעילים, מה שפותח את האפשרות שהם עשויים לבחור לבנות מחדש את תשתית הקבוט".
חברת האבטחה Lumu אמרה כי היא ספרה בסך הכל 1,581 ניסיונות התקפות על לקוחותיה בספטמבר שניתן לייחס לקבוט. בחודשים שלאחר מכן, הפעילות נותרה פחות או יותר באותה רמה, לדברי החברה. רוב ההתקפות כוונו לארגונים במגזרי פיננסים, ייצור, חינוך וממשל.
המשך ההפצה של קבוצת האיומים של התוכנה הזדונית מצביעה על כך שהיא הצליחה להתחמק מהשלכות משמעותיות, אומר מנכ"ל לומו, ריקרדו וילדיאגו. יכולתה של הקבוצה להמשיך לפעול תלויה בעיקר בהיתכנות כלכלית, ביכולות הטכניות ובקלות של הקמת תשתית חדשה, הוא מציין. "מכיוון שמודל תוכנת הכופר נותר רווחי והמאמצים המשפטיים לא מכוונים ספציפית ליחידים ולמבנה הבסיסי של פעולות פליליות אלה, זה הופך להיות מאתגר לנטרל לחלוטין כל רשת תוכנות זדוניות כמו זו."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 000
- 1
- 11
- 200
- 28
- 7
- 700
- a
- יכולת
- גישה
- פי
- פעילות
- שחקנים
- AES
- לאחר
- שוב
- גם
- an
- ו
- תשתיות
- מכריז
- כל
- לְהוֹפִיעַ
- ARE
- סביב
- נֶעצָר
- AS
- לְהַעֲרִיך
- At
- המתקפות
- ניסיתי
- אוגוסט
- רשויות
- מחברים
- בחזרה
- דלת אחורית
- בנקאות
- מבוסס
- BE
- להיות
- הופך להיות
- היה
- לפני
- החל
- להיות
- גדול
- שחור
- בוטנט
- ברוקרים
- אבל
- מבצע
- יכולות
- מנכ"ל
- אתגר
- בחרו
- קובלט
- חברה
- לחלוטין
- התפשר
- לאשר
- מְאוּשָׁר
- השלכות
- הכלול
- קונטי
- להמשיך
- נמשך
- ממשיך
- פלילי
- נוֹכְחִי
- לקוחות
- אבטחת סייבר
- יְוֹם
- ימים
- דצמבר
- פריסה
- מְתוּאָר
- מפתחים
- באופן דיגיטלי
- לְהָפִיץ
- מופץ
- הפצה
- הפצה
- הורדות
- ירידה
- דיבוב
- מוקדם יותר
- להקל
- כַּלְכָּלִי
- חינוך
- מַאֲמָצִים
- אמייל
- מיילים
- מוטבע
- עובד
- הצף
- אַכִיפָה
- מקימים
- מוערך
- בריחה
- מבצע
- הוצאת להורג
- יצוא
- FBI
- כדאיות
- לממן
- פירמה
- הבא
- בעד
- לשעבר
- קדימה
- ארבע
- החל מ-
- לְהַשִׂיג
- בדרך כלל
- נתן
- ממשלה
- קְבוּצָה
- היה
- יש
- מִקְלָט
- he
- צירי
- הכנסת אורחים
- HTTPS
- מזוהה
- פְּגִיעָה
- in
- כולל
- יותר ויותר
- מצביע על
- אנשים
- זיהומים
- תשתית
- בתחילה
- למשל
- מוֹדִיעִין
- ברמה בינלאומית
- הופעל
- מס הכנסה
- IT
- שֶׁלָה
- עצמו
- jpg
- אַבִּיר
- ידוע
- מאוחר יותר
- חוק
- אכיפת החוק
- הכי פחות
- הוביל
- משפטי
- פחות
- רמה
- כמו
- סביר
- ממוקם
- ארוך
- נמוך
- תוכנות זדוניות
- הצליח
- ייצור
- רב
- מאי..
- מנגנוני
- מיקרוסופט
- מודל
- רֶגַע
- חודשים
- יותר
- רוב
- נע
- MSI
- רשת
- חדש
- בייחוד
- ציין
- הערות
- וציין
- נובמבר
- אוֹקְטוֹבֶּר
- of
- on
- רק
- פתיחה
- פועל
- מבצע
- מבצעי
- תפעול
- מפעילי
- or
- ארגונים
- בְּמָקוֹר
- אחר
- הַחוּצָה
- חלק
- במיוחד
- עבר
- נתיב
- נתפס
- דיוג
- מבחר
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פוזה
- אפשרות
- הודעה
- פורסם
- הודעות
- קוֹדֶם
- בראש ובראשונה
- משתלם
- כופר
- ransomware
- קיבלו
- לאחרונה
- יחסית
- נשאר
- שְׂרִידִים
- דווח
- בקשות
- חוקר
- חוקרים
- רוויל
- מלכותי
- s
- אמר
- אותו
- ראה
- אומר
- מגזר
- מגזרים
- אבטחה
- לִרְאוֹת
- ראות
- לראות
- תפיסה
- שליחה
- סֶפּטֶמבֶּר
- שרתים
- כמה
- הראה
- סִימָן
- חָתוּם
- משמעותי
- דומה
- since
- So
- נמכרים
- כמה
- ספציפי
- במיוחד
- הצהרה
- עוד
- להכות
- מִבְנֶה
- לאחר מכן
- מערכות
- משימות
- טאלוס
- יעד
- ממוקד
- מטרות
- טכני
- מֵאֲשֶׁר
- זֶה
- השמיים
- החוק
- אלה
- הֵם
- זֶה
- השנה
- אם כי?
- איום
- איום שחקנים
- זמן
- חותם
- ל
- סה"כ
- טרויאני
- בדרך כלל
- בְּסִיסִי
- כתובת האתר
- us
- מְשׁוּמָשׁ
- משתמש
- באמצעות
- בְּדֶרֶך כְּלַל
- רכב
- ספקים
- גרסה
- באמצעות
- כֶּרֶך
- כרכים
- היה
- we
- שבועות
- טוֹב
- היו
- מה
- אשר
- בזמן
- באופן נרחב
- יצטרך
- חלונות
- עם
- נצחנות
- עולמי
- X
- שנה
- שנים
- זפירנט