Qakbot-observationer bekräftar att brottsbekämpningen bara var ett bakslag

Qakbot malware är tillbaka mindre än fyra månader efter att amerikanska och internationella brottsbekämpande myndigheter demonterade sin distributionsinfrastruktur i en allmänt hyllad operation som kallas "Duck Hunt. "

Under de senaste dagarna har flera säkerhetsleverantörer rapporterat att de har sett skadlig programvara distribueras via nätfiske-e-postmeddelanden som riktar sig till organisationer inom besökssektorn. För tillfället verkar e-postvolymerna vara relativt låga. Men med tanke på den uthållighet som Qakbot-operatörer har visat tidigare, kommer det sannolikt inte att dröja länge innan volymen ökar igen.

Låga volymer – än så länge

Microsofts hotintelligensgrupp har uppskattat att den nya kampanjen började 11 december, baserat på en tidsstämpel i nyttolasten som användes i de senaste attackerna. Mål har fått e-postmeddelanden med en PDF-bilaga från en användare som utger sig för att vara anställd på IRS, sa företaget i flera inlägg på X, plattformen tidigare känd som Twitter. "PDF-filen innehöll en URL som laddar ner en digitalt signerad Windows Installer (.msi)", skrev Microsoft. "Att köra MSI ledde till att Qakbot anropades genom att exportera 'hvsi' exekvering av en inbäddad DLL." Forskarna beskrev Qakbot-versionen som hotaktören distribuerar i den nya kampanjen som en tidigare osynlig version.

Zscaler observerade också att skadlig programvara dyker upp. I ett inlägg på X, företaget identifierade den nya versionen som 64-bitars, använder AES för nätverkskryptering och skickar POST-förfrågningar till en specifik sökväg på komprometterade system. Proofpoint bekräftade liknande iakttagelser en dag senare samtidigt som man noterade att PDF-filerna i den aktuella kampanjen har distribuerats sedan åtminstone den 28 november.

Långt utbrett hot

Qakbot är särskilt skadlig skadlig programvara som har funnits sedan åtminstone 2007. Dess upphovsmän använde ursprungligen skadlig programvara som en banktrojan men har under de senaste åren svängt till en modell för malware-as-a-service. Hotaktörer har vanligtvis distribuerat skadlig programvara via nätfiske-e-post, och infekterade system blir vanligtvis en del av ett större botnät. Vid tidpunkten för nedtagningen i augusti identifierade brottsbekämpande myndigheter så många som 700,000 200,000 Qakbot-infekterade system över hela världen, varav cirka XNUMX XNUMX var belägna i USA.

Qakbot-anslutna skådespelare har alltmer använt det som ett medel för att släppa annan skadlig kod, framför allt Cobalt Strike, Brute Ratel, och en massa ransomware. I många fall har inledande accessmäklare använt Qakbot för att få tillgång till ett målnätverk och senare sålt den åtkomsten till andra hotaktörer. "QakBot-infektioner är särskilt kända för att föregå utplaceringen av mänskligt drivna ransomware, inklusive Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal och PwndLocker," US Cybersecurity and Infrastructure Security Agency noteras i ett uttalande som tillkännager brottsbekämpningen tidigare i år.

Endast nedtagning saktade ner Qakbot

De senaste iakttagelserna av Qakbot skadlig programvara verkar bekräfta vad vissa leverantörer har rapporterat under de senaste månaderna: brottsbekämpningens borttagning hade mindre inverkan på Quakbot-aktörer än vad som allmänt uppfattas.

I oktober till exempel hotsjägare kl Cisco Talos rapporterade att Qakbot-anslutna aktörer fortsatte att distribuera Remcos bakdörr och Ransom Knight ransomware under veckorna och månaderna efter FBI:s beslagtagande av Qakbots infrastruktur. Talos säkerhetsforskare Guilherme Venere såg det som ett tecken på att Augusts brottsbekämpande operation kan ha tagit bort Qakbots kommando-och-kontrollservrar och inte dess skräppostleveransmekanismer.

"Även om vi inte har sett hotaktörerna distribuera själva Qakbot efter nedtagningen av infrastrukturen, bedömer vi att skadlig programvara kommer att fortsätta att utgöra ett betydande hot framåt", sa Venere då. "Vi ser detta som troligt eftersom utvecklarna inte arresterades och fortfarande är i drift, vilket öppnar möjligheten att de kan välja att bygga om Qakbot-infrastrukturen."

Säkerhetsföretaget Lumu sa att det räknade totalt 1,581 XNUMX försök till attacker mot sina kunder i september som var hänförliga till Qakbot. Under de följande månaderna har aktiviteten legat på ungefär samma nivå, enligt företaget. De flesta attackerna har riktats mot organisationer inom finans-, tillverknings-, utbildnings- och statlig sektor.

Hotgruppens fortsatta distribution av skadlig programvara indikerar att den lyckades undvika betydande konsekvenser, säger Lumu vd Ricardo Villadiego. Gruppens förmåga att fortsätta verka beror främst på den ekonomiska genomförbarheten, tekniska kapaciteten och enkelheten att etablera ny infrastruktur, noterar han. "Eftersom ransomware-modellen förblir lönsam och juridiska ansträngningar inte har riktats specifikt mot individerna och den underliggande strukturen för dessa kriminella operationer, blir det utmanande att helt neutralisera alla skadliga nätverk som detta."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback