Obserwacje Qakbota potwierdzają, że zabójstwo organów ścigania było tylko porażką

Szkodliwe oprogramowanie Qakbot powraca niecałe cztery miesiące po tym, jak amerykańskie i międzynarodowe organy ścigania zdemontowały jego infrastrukturę dystrybucyjną w ramach szeroko okrzykniętej operacji nazwanej „Duck Hunt".

W ostatnich dniach kilku dostawców zabezpieczeń zgłosiło przypadki dystrybucji szkodliwego oprogramowania za pośrednictwem wiadomości e-mail phishingowych, których celem są organizacje z sektora hotelarsko-gastronomicznego. W tej chwili liczba e-maili wydaje się stosunkowo niska. Biorąc jednak pod uwagę wytrwałość, jaką wykazali operatorzy Qakbota w przeszłości, prawdopodobnie nie minie dużo czasu, zanim wolumen ponownie wzrośnie.

Niskie wolumeny — jak dotąd

Grupa Microsoft ds. analizy zagrożeń oszacowała, że ​​nowa kampania rozpoczęła się 11 grudnia na podstawie sygnatury czasowej zawartej w ładunku wykorzystanym w ostatnich atakach. Targets otrzymało e-maile z załącznikiem w formacie PDF od użytkownika podającego się za pracownika IRS, podała firma w wiele postów na X, platforma znana wcześniej jako Twitter. „Plik PDF zawierał adres URL, z którego można pobrać cyfrowo podpisany Instalator Windows (.msi)” – napisał Microsoft. „Wykonanie pliku MSI doprowadziło do wywołania Qakbota przy użyciu wykonania eksportu „hvsi” osadzonej biblioteki DLL.” Badacze opisali wersję Qakbota, którą ugrupowanie zagrażające rozpowszechnia w nowej kampanii, jako wersję wcześniej niewidzianą.

Zscaler również zaobserwował pojawianie się szkodliwego oprogramowania. W poście na X firma zidentyfikował nową wersję jako 64-bitowy, wykorzystujący AES do szyfrowania sieci i wysyłający żądania POST do określonej ścieżki w zaatakowanych systemach. Proofpoint potwierdził podobne obserwacje dzień później, zauważając jednocześnie, że pliki PDF w ramach bieżącej kampanii są dystrybuowane co najmniej od 28 listopada.

Długotrwałe zagrożenie

Qakbot to szczególnie szkodliwe szkodliwe oprogramowanie, które istnieje co najmniej od 2007 roku. Jego autorzy pierwotnie używali tego szkodliwego oprogramowania jako trojana bankowego, ale w ostatnich latach przeszli na model złośliwego oprogramowania jako usługi. Podmioty zagrażające zazwyczaj rozpowszechniają złośliwe oprogramowanie za pośrednictwem wiadomości e-mail phishingowych, a zainfekowane systemy zwykle stają się częścią większego botnetu. Na czas obalenia w sierpniu organy ścigania zidentyfikowały na całym świecie aż 700,000 200,000 systemów zainfekowanych Qakbotem, z czego około XNUMX XNUMX znajdowało się w USA.

Podmioty powiązane z Qakbotem coraz częściej wykorzystują go jako narzędzie do upuszczania innego złośliwego oprogramowania, w szczególności Cobalt Strike, Brutalny Ratel, i mnóstwo oprogramowania ransomware. W wielu przypadkach brokerzy pierwszego dostępu używali Qakbota do uzyskania dostępu do sieci docelowej, a później sprzedawali ten dostęp innym podmiotom zagrażającym. „Szczególnie wiadomo, że infekcje QakBot poprzedzają wdrożenie oprogramowania ransomware obsługiwanego przez człowieka, w tym Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal i PwndLocker”, Amerykańska Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury – zauważono w oświadczeniu ogłaszającym zatrzymanie przez organy ścigania na początku tego roku.

Tylko eliminacja spowolniła Qakbota

Niedawne obserwacje szkodliwego oprogramowania Qakbot wydają się potwierdzać to, co niektórzy dostawcy zgłaszali w ostatnich miesiącach: usunięcie oprogramowania przez organy ścigania miało mniejszy wpływ na aktorów Quakbot, niż ogólnie sądzono.

Na przykład w październiku łowcy zagrożeń przy ul Cisco Talos poinformowało, że podmioty powiązane z Qakbotem kontynuowały dystrybucję backdoora Remcos i oprogramowania ransomware Ransom Knight w tygodniach i miesiącach po przejęciu infrastruktury Qakbot przez FBI. Badacz bezpieczeństwa Talos, Guilherme Venere, uznał to za znak, że sierpniowa operacja organów ścigania mogła zniszczyć jedynie serwery dowodzenia i kontroli Qakbota, a nie jego mechanizmy dostarczania spamu.

„Chociaż nie zaobserwowaliśmy ugrupowań zagrażających rozprzestrzeniających samego Qakbota po usunięciu infrastruktury, oceniamy, że złośliwe oprogramowanie będzie w dalszym ciągu stanowić poważne zagrożenie” – powiedział wówczas Venere. „Uważamy to za prawdopodobne, ponieważ programiści nie zostali aresztowani i nadal działają, co stwarza możliwość, że zdecydują się na odbudowę infrastruktury Qakbot”.

Firma ochroniarska Lumu podała, że ​​we wrześniu naliczyła łącznie 1,581 prób ataków na swoich klientów, które można przypisać Qakbotowi. Jak podaje spółka, w kolejnych miesiącach aktywność utrzymywała się na mniej więcej tym samym poziomie. Celem większości ataków są organizacje z sektorów finansowego, produkcyjnego, edukacyjnego i rządowego.

Ciągła dystrybucja szkodliwego oprogramowania przez tę grupę zagrożeń wskazuje, że udało jej się uniknąć poważnych konsekwencji, mówi dyrektor generalny Lumu, Ricardo Villadiego. Zdolność grupy do kontynuowania działalności zależy przede wszystkim od wykonalności ekonomicznej, możliwości technicznych i łatwości tworzenia nowej infrastruktury – zauważa. „Ponieważ model oprogramowania ransomware pozostaje opłacalny, a wysiłki prawne nie były skierowane konkretnie do konkretnych osób i struktury leżącej u podstaw tych operacji przestępczych, całkowite zneutralizowanie takiej sieci złośliwego oprogramowania staje się wyzwaniem”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback