Qakbot-observasjoner bekrefter at fjerning av rettshåndhevelse bare var et tilbakeslag

Qakbot malware er tilbake mindre enn fire måneder etter at amerikanske og internasjonale rettshåndhevelsesmyndigheter demonterte distribusjonsinfrastrukturen i en mye hyllet operasjon kalt "Andjakt».

De siste dagene har flere sikkerhetsleverandører rapportert at de har sett skadelig programvare bli distribuert via phishing-e-poster som retter seg mot organisasjoner i gjestfrihetssektoren. For øyeblikket ser e-postvolumene ut til å være relativt lave. Men gitt utholdenheten som Qakbot-operatører har vist tidligere, vil det sannsynligvis ikke ta lang tid før volumet tar seg opp igjen.

Lave volumer – så langt

Microsofts trusseletterretningsgruppe har anslått at den nye kampanjen startet 11. desember, basert på et tidsstempel i nyttelasten som ble brukt i de siste angrepene. Mål har mottatt e-poster med et PDF-vedlegg fra en bruker som utgir seg for å være ansatt ved IRS, sa selskapet i flere innlegg på X, plattformen tidligere kjent som Twitter. "PDF-en inneholdt en URL som laster ned et digitalt signert Windows Installer (.msi)," skrev Microsoft. "Kjøring av MSI førte til at Qakbot ble påkalt ved å bruke eksport 'hvsi'-kjøring av en innebygd DLL." Forskerne beskrev Qakbot-versjonen som trusselaktøren distribuerer i den nye kampanjen som en tidligere usett versjon.

Zscaler observerte også at skadevare dukket opp. I et innlegg på X skriver selskapet identifiserte den nye versjonen som 64-bit, ved å bruke AES for nettverkskryptering og sende POST-forespørsler til en spesifikk bane på kompromitterte systemer. Proofpoint bekreftet lignende observasjoner en dag senere, samtidig som de bemerker at PDF-ene i den nåværende kampanjen har blitt distribuert siden minst 28. november.

Lang utbredt trussel

Qakbot er spesielt skadelig skadelig programvare som har eksistert siden minst 2007. Dens forfattere brukte opprinnelig skadelig programvare som en banktrojaner, men de siste årene har de gått over til en malware-as-a-service-modell. Trusselaktører har vanligvis distribuert skadevaren via phishing-e-post, og infiserte systemer blir vanligvis en del av et større botnett. På tidspunktet for fjerningen i august identifiserte rettshåndhevelse så mange som 700,000 200,000 Qakbot-infiserte systemer over hele verden, hvorav rundt XNUMX XNUMX var lokalisert i USA.

Qakbot-tilknyttede skuespillere har i økende grad brukt det som et middel for å slippe annen skadelig programvare, spesielt Cobalt Strike, Brute Ratel, og en mengde løsepengeprogramvare. I mange tilfeller har innledende tilgangsmeglere brukt Qakbot for å få tilgang til et målnettverk og senere solgt denne tilgangen til andre trusselaktører. "QakBot-infeksjoner er spesielt kjent for å gå foran distribusjon av menneskelig drevet løsepengevare, inkludert Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal og PwndLocker," US Cybersecurity and Infrastructure Security Agency bemerket i en uttalelse som kunngjorde fjerningen av rettshåndhevelsen tidligere i år.

Bare nedtagning bremset Qakbot

De nylige observasjonene av Qakbot-malware ser ut til å bekrefte det enkelte leverandører har rapportert de siste månedene: Rettshåndhevelsens fjerning hadde mindre innvirkning på Quakbot-aktører enn generelt sett.

I oktober for eksempel trusseljegere kl Cisco Talos rapporterte at Qakbot-tilknyttede aktører fortsatte å distribuere Remcos-bakdøren og Ransom Knight-ransomware i ukene og månedene etter FBIs beslagleggelse av Qakbot-infrastruktur. Talos sikkerhetsforsker Guilherme Venere så det som et tegn på at Augusts rettshåndhevelsesoperasjon kan ha fjernet bare Qakbots kommando-og-kontrollservere og ikke spam-leveringsmekanismene.

"Selv om vi ikke har sett trusselaktørene som distribuerer Qakbot selv etter fjerning av infrastruktur, vurderer vi at skadevare vil fortsette å utgjøre en betydelig trussel fremover," sa Venere den gang. "Vi ser dette som sannsynlig siden utviklerne ikke ble arrestert og fortsatt er i drift, noe som åpner muligheten for at de kan velge å gjenoppbygge Qakbot-infrastrukturen."

Sikkerhetsfirmaet Lumu sa at det telte totalt 1,581 forsøk på angrep på kundene sine i september som kan tilskrives Qakbot. I de påfølgende månedene har aktiviteten holdt seg på noenlunde samme nivå, ifølge selskapet. De fleste angrepene har vært rettet mot organisasjoner innen finans, produksjon, utdanning og offentlig sektor.

Trusselgruppens fortsatte distribusjon av skadevaren indikerer at den klarte å unngå betydelige konsekvenser, sier Lumu-sjef Ricardo Villadiego. Konsernets evne til å fortsette driften avhenger først og fremst av økonomisk gjennomførbarhet, tekniske evner og enkelhet å etablere ny infrastruktur, bemerker han. "Siden løsepengevaremodellen forblir lønnsom og juridisk innsats ikke spesifikt har rettet seg mot individene og den underliggende strukturen til disse kriminelle operasjonene, blir det utfordrende å fullstendig nøytralisere ethvert malware-nettverk som dette."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback