Observațiile Qakbot confirmă că eliminarea forțelor de ordine a fost doar un eșec

Malware-ul Qakbot s-a întors la mai puțin de patru luni după ce autoritățile de aplicare a legii din SUA și internaționale și-au demontat infrastructura de distribuție într-o operațiune larg salutată numită „Duck Hunt. "

În ultimele zile, câțiva furnizori de securitate au raportat că au văzut malware-ul fiind distribuit prin e-mailuri de phishing care vizează organizațiile din sectorul ospitalității. Pentru moment, volumele de e-mailuri par să fie relativ scăzute. Dar, având în vedere tenacitatea pe care operatorii Qakbot au dat dovadă în trecut, probabil că nu va dura mult până când volumul va crește din nou.

Volume scăzute - Până acum

Grupul Microsoft de informații despre amenințări a estimat că noua campanie a început pe 11 decembrie, pe baza unui marcaj de timp în încărcătura utilă utilizată în atacurile recente. Țintele au primit e-mailuri cu un atașament PDF de la un utilizator care se pretinde a fi angajat la IRS, a spus compania în mai multe postări pe X, platforma cunoscută anterior sub numele de Twitter. „PDF-ul conținea o adresă URL care descarcă un Windows Installer (.msi) semnat digital”, a postat Microsoft. „Executarea MSI a dus la invocarea Qakbot folosind execuția de export „hvsi” a unui DLL încorporat.” Cercetătorii au descris versiunea Qakbot pe care actorul amenințării o distribuie în noua campanie ca o versiune nevăzută anterior.

Zscaler a observat și malware-ul care iese la suprafață. Într-o postare pe X, compania a identificat noua versiune ca pe 64 de biți, folosind AES pentru criptarea rețelei și trimiterea cererilor POST către o cale specifică pe sistemele compromise. Proofpoint a confirmat observări similare o zi mai târziu, menționând, de asemenea, că PDF-urile din campania actuală au fost distribuite cel puțin din 28 noiembrie.

Amenințare de lungă durată

Qakbot este un program malware deosebit de nociv, care există cel puțin din 2007. Autorii săi au folosit inițial malware-ul ca troian bancar, dar în ultimii ani au trecut la un model de malware-as-a-service. Actorii amenințărilor au distribuit de obicei malware-ul prin e-mailuri de phishing, iar sistemele infectate devin de obicei parte dintr-o rețea botnet mai mare. La momentul demontării în august, forțele de ordine au identificat până la 700,000 de sisteme infectate cu Qakbot în întreaga lume, dintre care aproximativ 200,000 erau localizate în SUA.

Actorii afiliați Qakbot l-au folosit din ce în ce mai mult ca un vehicul pentru a elimina alte programe malware, în special Cobalt Strike, Brute Ratel, și o grămadă de ransomware. În multe cazuri, brokerii de acces inițial au folosit Qakbot pentru a obține acces la o rețea țintă și ulterior au vândut acel acces altor actori amenințări. „Infecțiile cu QakBot sunt cunoscute în special pentru a preceda implementarea ransomware-ului operat de oameni, inclusiv Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal și PwndLocker”, Agenția SUA pentru Securitate Cibernetică și Securitate a Infrastructurii a notat într-o declarație care anunță eliminarea forțelor de ordine la începutul acestui an.

Doar eliminarea a încetinit Qakbot

Descoperirile recente de malware Qakbot par să confirme ceea ce unii furnizori au raportat în ultimele luni: eliminarea de către forțele de ordine a avut un impact mai mic asupra actorilor Quakbot decât este perceput în general.

În octombrie, de exemplu, vânătorii de amenințări la Cisco Talos au raportat că actorii afiliați la Qakbot au continuat să distribuie backdoor-ul Remcos și ransomware-ul Ransom Knight în săptămânile și lunile următoare confiscării de către FBI a infrastructurii Qakbot. Cercetătorul în securitate Talos, Guilherme Venere, a văzut asta ca un semn că operațiunea de aplicare a legii din august ar fi putut elimina doar serverele de comandă și control ale Qakbot și nu mecanismele sale de livrare a spam-ului.

„Deși nu am văzut actorii amenințărilor distribuind Qakbot în sine după eliminarea infrastructurii, evaluăm că malware-ul va continua să reprezinte o amenințare semnificativă în viitor”, a spus Venere la acea vreme. „Vedem că acest lucru este probabil, deoarece dezvoltatorii nu au fost arestați și sunt încă operaționali, deschizând posibilitatea ca aceștia să aleagă să reconstruiască infrastructura Qakbot.”

Firma de securitate Lumu a declarat că a numărat un total de 1,581 de tentative de atac asupra clienților săi în septembrie, care au fost atribuite Qakbot. În lunile următoare, activitatea a rămas mai mult sau mai puțin la același nivel, potrivit companiei. Cele mai multe atacuri au vizat organizații din sectorul financiar, producție, educație și guvern.

Distribuția continuă a malware-ului de către grupul de amenințări indică faptul că a reușit să evite consecințele semnificative, spune CEO-ul Lumu, Ricardo Villadiego. Capacitatea grupului de a continua să funcționeze depinde în primul rând de fezabilitatea economică, capacitățile tehnice și ușurința de a stabili noi infrastructuri, notează el. „Din moment ce modelul ransomware rămâne profitabil și eforturile legale nu au vizat în mod specific indivizii și structura de bază a acestor operațiuni criminale, devine o provocare să neutralizezi complet orice rețea malware ca aceasta.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback