มัลแวร์ Qakbot กลับมาอีกครั้งในเวลาไม่ถึงสี่เดือนหลังจากที่หน่วยงานบังคับใช้กฎหมายของสหรัฐอเมริกาและระหว่างประเทศได้รื้อถอนโครงสร้างพื้นฐานการจัดจำหน่ายในการดำเนินการที่ได้รับการยกย่องอย่างกว้างขวางซึ่งมีชื่อว่า “เป็ดล่า".
ในช่วงไม่กี่วันที่ผ่านมา ผู้จำหน่ายระบบรักษาความปลอดภัยหลายรายรายงานว่าพบมัลแวร์แพร่กระจายผ่านอีเมลฟิชชิ่งที่กำหนดเป้าหมายองค์กรในภาคการบริการ ในขณะนี้ปริมาณอีเมลดูเหมือนจะค่อนข้างต่ำ แต่ด้วยความดื้อรั้นที่ผู้ดำเนินการ Qakbot ได้แสดงออกมาในอดีต จึงมีแนวโน้มว่าจะใช้เวลาไม่นานก่อนที่ปริมาณจะเพิ่มขึ้นอีกครั้ง
ปริมาณต่ำ — จนถึงตอนนี้
กลุ่มข่าวกรองภัยคุกคามของ Microsoft ประมาณการว่าแคมเปญใหม่จะเริ่มในวันที่ 11 ธันวาคม โดยอิงจากการประทับเวลาในเพย์โหลดที่ใช้ในการโจมตีครั้งล่าสุด เป้าหมายได้รับอีเมลพร้อมไฟล์แนบ PDF จากผู้ใช้ที่อ้างว่าเป็นพนักงานของ IRS บริษัท กล่าวใน หลายโพสต์ใน Xซึ่งเป็นแพลตฟอร์มเดิมชื่อ Twitter “PDF มี URL สำหรับดาวน์โหลด Windows Installer (.msi) ที่เซ็นชื่อแบบดิจิทัล” Microsoft โพสต์ “การดำเนินการ MSI ทำให้ Qakbot ถูกเรียกใช้โดยใช้การส่งออก 'hvsi' การดำเนินการของ DLL ที่ฝังอยู่" นักวิจัยได้อธิบายเวอร์ชัน Qakbot ที่ผู้คุกคามกำลังเผยแพร่ในแคมเปญใหม่ว่าเป็นเวอร์ชันที่ไม่เคยเห็นมาก่อน
Zscaler สังเกตเห็นมัลแวร์ที่ปรากฏเช่นกัน ในโพสต์บน X บริษัท ระบุเวอร์ชันใหม่ เป็น 64 บิต โดยใช้ AES สำหรับการเข้ารหัสเครือข่ายและส่งคำขอ POST ไปยังเส้นทางเฉพาะบนระบบที่ถูกบุกรุก Proofpoint ยืนยันการพบเห็นที่คล้ายกัน วันต่อมาพร้อมทั้งสังเกตว่าไฟล์ PDF ในแคมเปญปัจจุบันได้รับการแจกจ่ายตั้งแต่อย่างน้อยวันที่ 28 พฤศจิกายน
ภัยคุกคามที่แพร่หลายมายาวนาน
Qakbot เป็นมัลแวร์ที่เป็นอันตรายอย่างยิ่งซึ่งมีมาตั้งแต่ปี 2007 เป็นอย่างน้อย เดิมทีผู้เขียนใช้มัลแวร์เป็นโทรจันของธนาคาร แต่ในช่วงไม่กี่ปีที่ผ่านมาได้เปลี่ยนไปใช้รูปแบบมัลแวร์ในรูปแบบบริการ โดยทั่วไปแล้วผู้คุกคามจะเผยแพร่มัลแวร์ผ่านอีเมลฟิชชิ่ง และระบบที่ติดไวรัสมักจะกลายเป็นส่วนหนึ่งของบอตเน็ตที่ใหญ่กว่า ที่ เวลาแห่งการลบออก ในเดือนสิงหาคม หน่วยงานบังคับใช้กฎหมายระบุได้ว่ามีระบบที่ติดเชื้อ Qakbot มากถึง 700,000 ระบบทั่วโลก โดยประมาณ 200,000 ระบบอยู่ในสหรัฐอเมริกา
นักแสดงในเครือ Qakbot ได้ใช้มันเป็นเครื่องมือในการทิ้งมัลแวร์อื่น ๆ มากขึ้น โดยเฉพาะอย่างยิ่ง Cobalt Strike เดรัจฉาน เรเทล, และแรนซัมแวร์จำนวนมหาศาล ในหลายกรณี นายหน้าการเข้าถึงเบื้องต้นได้ใช้ Qakbot เพื่อเข้าถึงเครือข่ายเป้าหมาย และขายการเข้าถึงนั้นให้กับผู้คุกคามรายอื่นในภายหลัง “การติดไวรัส QakBot เป็นที่รู้กันว่าเกิดขึ้นก่อนการติดตั้งแรนซัมแวร์ที่ดำเนินการโดยมนุษย์ รวมถึง Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal และ PwndLocker” สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา ระบุไว้ในแถลงการณ์ที่ประกาศการลบออกของหน่วยงานบังคับใช้กฎหมายเมื่อต้นปีนี้
การลบล้าง Qakbot ที่ช้าลงเท่านั้น
การพบเห็นมัลแวร์ Qakbot ล่าสุดดูเหมือนจะยืนยันสิ่งที่ผู้ขายบางรายรายงานในช่วงไม่กี่เดือนที่ผ่านมา: การลบออกของหน่วยงานบังคับใช้กฎหมายมีผลกระทบต่อนักแสดง Quakbot น้อยกว่าที่รับรู้โดยทั่วไป
เช่นในเดือนตุลาคม นักล่าภัยคุกคามที่ Cisco Talos รายงานว่านักแสดงในเครือของ Qakbot ยังคงเผยแพร่แบ็คดอร์ Remcos และแรนซัมแวร์ Ransom Knight อย่างต่อเนื่องในช่วงหลายสัปดาห์และหลายเดือนหลังจากการยึดโครงสร้างพื้นฐานของ Qakbot ของ FBI Guilherme Venere นักวิจัยด้านความปลอดภัยของ Talos เห็นว่าเป็นสัญญาณว่าการดำเนินการบังคับใช้กฎหมายในเดือนสิงหาคมอาจนำเฉพาะเซิร์ฟเวอร์คำสั่งและควบคุมของ Qakbot เท่านั้น ไม่ใช่กลไกการส่งสแปม
“แม้ว่าเราจะไม่เห็นผู้คุกคามที่เผยแพร่ Qakbot เองหลังการลบโครงสร้างพื้นฐาน แต่เราประเมินว่ามัลแวร์จะยังคงเป็นภัยคุกคามที่สำคัญต่อไป” Venere กล่าวในขณะนั้น “เราเห็นความเป็นไปได้นี้เนื่องจากนักพัฒนาไม่ได้ถูกจับกุมและยังคงเปิดดำเนินการอยู่ ซึ่งเปิดโอกาสให้พวกเขาเลือกสร้างโครงสร้างพื้นฐานของ Qakbot ขึ้นมาใหม่”
บริษัทรักษาความปลอดภัย Lumu กล่าวว่านับการพยายามโจมตีลูกค้าได้ทั้งหมด 1,581 ครั้งในเดือนกันยายน ซึ่งเป็นผลมาจาก Qakbot ในเดือนต่อๆ มา กิจกรรมดังกล่าวยังคงอยู่ในระดับเดิมไม่มากก็น้อย ตามที่บริษัทระบุ การโจมตีส่วนใหญ่มุ่งเป้าไปที่องค์กรต่างๆ ในด้านการเงิน การผลิต การศึกษา และภาครัฐ
การกระจายมัลแวร์อย่างต่อเนื่องของกลุ่มภัยคุกคามบ่งชี้ว่าสามารถหลบเลี่ยงผลกระทบที่สำคัญได้ Ricardo Villadiego ซีอีโอของ Lumu กล่าว ความสามารถของกลุ่มในการดำเนินงานต่อไปนั้นขึ้นอยู่กับความเป็นไปได้ทางเศรษฐกิจ ความสามารถด้านเทคนิค และความง่ายในการสร้างโครงสร้างพื้นฐานใหม่ เขาตั้งข้อสังเกต “เนื่องจากโมเดลแรนซัมแวร์ยังคงทำกำไรได้ และความพยายามทางกฎหมายไม่ได้กำหนดเป้าหมายไปที่บุคคลและโครงสร้างพื้นฐานของการปฏิบัติการทางอาญาโดยเฉพาะ การต่อต้านเครือข่ายมัลแวร์ในลักษณะนี้จึงกลายเป็นเรื่องท้าทาย”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 000
- 1
- 11
- 200
- 28
- 7
- 700
- a
- ความสามารถ
- เข้า
- ตาม
- อยากทำกิจกรรม
- นักแสดง
- AES
- หลังจาก
- อีกครั้ง
- ด้วย
- an
- และ
- และโครงสร้างพื้นฐาน
- ประกาศ
- ใด
- ปรากฏ
- เป็น
- รอบ
- จับกุม
- AS
- ประเมินผล
- At
- การโจมตี
- พยายาม
- สิงหาคม
- เจ้าหน้าที่
- ผู้เขียน
- กลับ
- ประตูหลัง
- การธนาคาร
- ตาม
- BE
- กลายเป็น
- จะกลายเป็น
- รับ
- ก่อน
- เริ่ม
- กำลัง
- ที่ใหญ่กว่า
- Black
- บ็อตเน็ต
- โบรกเกอร์
- แต่
- รณรงค์
- ความสามารถในการ
- ผู้บริหารสูงสุด
- ท้าทาย
- Choose
- โคบอลต์
- บริษัท
- อย่างสมบูรณ์
- ที่ถูกบุกรุก
- ยืนยัน
- ยืนยัน
- ผลที่ตามมา
- ที่มีอยู่
- คอนติ
- ต่อ
- อย่างต่อเนื่อง
- อย่างต่อเนื่อง
- ความผิดทางอาญา
- ปัจจุบัน
- ลูกค้า
- cybersecurity
- วัน
- วัน
- ธันวาคม
- การใช้งาน
- อธิบาย
- นักพัฒนา
- ดิจิทัล
- กระจาย
- กระจาย
- จำหน่าย
- การกระจาย
- ดาวน์โหลด
- หล่น
- ขนานนามว่า
- ก่อน
- ความสะดวก
- ด้านเศรษฐกิจ
- การศึกษา
- ความพยายาม
- อีเมล
- อีเมล
- ที่ฝัง
- ลูกจ้าง
- การเข้ารหัสลับ
- การบังคับใช้
- การสร้าง
- ประมาณ
- หลบเลี่ยง
- การดำเนินงาน
- การปฏิบัติ
- ส่งออก
- เอฟบีไอ
- ความเป็นไปได้
- เงินทุน
- บริษัท
- ดังต่อไปนี้
- สำหรับ
- สมัยก่อน
- ข้างหน้า
- สี่
- ราคาเริ่มต้นที่
- ได้รับ
- โดยทั่วไป
- กำหนด
- รัฐบาล
- บัญชีกลุ่ม
- มี
- มี
- ที่พัก
- he
- บานพับ
- การต้อนรับขับสู้
- HTTPS
- ระบุ
- ส่งผลกระทบ
- in
- รวมทั้ง
- ขึ้น
- บ่งชี้ว่า
- บุคคล
- การติดเชื้อ
- โครงสร้างพื้นฐาน
- แรกเริ่ม
- ตัวอย่าง
- Intelligence
- International
- เรียก
- IRS
- IT
- ITS
- ตัวเอง
- jpg
- อัศวิน
- ที่รู้จักกัน
- ต่อมา
- กฏหมาย
- การบังคับใช้กฎหมาย
- น้อยที่สุด
- นำ
- กฎหมาย
- น้อยลง
- ชั้น
- กดไลก์
- น่าจะ
- ที่ตั้งอยู่
- นาน
- ต่ำ
- มัลแวร์
- การจัดการ
- การผลิต
- หลาย
- อาจ..
- กลไก
- ไมโครซอฟท์
- แบบ
- ขณะ
- เดือน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- การย้าย
- MSI
- เครือข่าย
- ใหม่
- ยวด
- เด่น
- หมายเหตุ / รายละเอียดเพิ่มเติม
- สังเกต
- พฤศจิกายน
- ตุลาคม
- of
- on
- เพียง
- การเปิด
- การดำเนินงาน
- การดำเนินการ
- การดำเนินงาน
- การดำเนินการ
- ผู้ประกอบการ
- or
- องค์กร
- แต่เดิม
- อื่นๆ
- ออก
- ส่วนหนึ่ง
- โดยเฉพาะ
- อดีต
- เส้นทาง
- รูปแบบไฟล์ PDF
- ที่รับรู้
- ฟิชชิ่ง
- คัดสรร
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ท่าทาง
- ความเป็นไปได้
- โพสต์
- โพสต์
- โพสต์
- ก่อนหน้านี้
- ส่วนใหญ่
- มีกำไร
- ค่าไถ่
- ransomware
- ที่ได้รับ
- เมื่อเร็ว ๆ นี้
- สัมพัทธ์
- ยังคงอยู่
- ซากศพ
- รายงาน
- การร้องขอ
- นักวิจัย
- นักวิจัย
- เรวิล
- ราช
- s
- กล่าวว่า
- เดียวกัน
- เห็น
- พูดว่า
- ภาค
- ภาค
- ความปลอดภัย
- เห็น
- เห็น
- เห็น
- การยึด
- การส่ง
- กันยายน
- เซิร์ฟเวอร์
- หลาย
- แสดง
- ลงชื่อ
- ลงนาม
- สำคัญ
- คล้ายคลึงกัน
- ตั้งแต่
- So
- ขาย
- บาง
- โดยเฉพาะ
- เฉพาะ
- คำแถลง
- ยังคง
- โขก
- โครงสร้าง
- ภายหลัง
- ระบบ
- นำ
- ลอส
- เป้า
- เป้าหมาย
- เป้าหมาย
- วิชาการ
- กว่า
- ที่
- พื้นที่
- กฏหมาย
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- นี้
- ในปีนี้
- แต่?
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- เวลา
- การประทับเวลา
- ไปยัง
- รวม
- โทรจัน
- พูดเบาและรวดเร็ว
- เป็นปกติ
- พื้นฐาน
- URL
- us
- มือสอง
- ผู้ใช้งาน
- การใช้
- มักจะ
- พาหนะ
- ผู้ขาย
- รุ่น
- ผ่านทาง
- ปริมาณ
- ไดรฟ์
- คือ
- we
- สัปดาห์ที่ผ่านมา
- ดี
- คือ
- อะไร
- ที่
- ในขณะที่
- อย่างกว้างขวาง
- จะ
- หน้าต่าง
- กับ
- วอน
- ทั่วโลก
- X
- ปี
- ปี
- ลมทะเล