Зловмисне програмне забезпечення Qakbot повернулося менше ніж через чотири місяці після того, як американські та міжнародні правоохоронні органи демонтували його інфраструктуру розповсюдження під час операції під назвою «Качина полювання».
Останніми днями кілька постачальників засобів безпеки повідомили про те, що зловмисне програмне забезпечення поширюється через фішингові електронні листи, націлені на організації в готельному секторі. На даний момент обсяг електронної пошти виглядає відносно невеликим. Але враховуючи наполегливість, яку оператори Qakbot демонстрували в минулому, швидше за все, невдовзі обсяг знову зросте.
Невеликі обсяги — поки що
Група аналізу загроз Microsoft оцінила, що нова кампанія почалася 11 грудня на основі мітки часу в корисному навантаженні, використаному в останніх атаках. Цілі отримували електронні листи з вкладенням у форматі PDF від користувача, який нібито є співробітником IRS, повідомила компанія в кілька дописів на X, платформа, раніше відома як Twitter. «PDF містив URL-адресу, яка завантажує інсталятор Windows із цифровим підписом (.msi)», — опублікувала Microsoft. «Виконання MSI призвело до виклику Qakbot за допомогою експорту «hvsi» виконання вбудованої DLL». Дослідники описали версію Qakbot, яку загрозливий актор поширює в новій кампанії, як версію, яку раніше не бачили.
Zscaler також спостерігав за появою шкідливих програм. У дописі на X компанія визначив нову версію як 64-розрядний, використовуючи AES для шифрування мережі та надсилаючи запити POST за певним шляхом у скомпрометованих системах. Proofpoint підтвердив подібні спостереження на день пізніше, а також зазначивши, що PDF-файли поточної кампанії розповсюджуються принаймні з 28 листопада.
Тривала загроза
Qakbot — це особливо небезпечне шкідливе програмне забезпечення, яке існує принаймні з 2007 року. Його автори спочатку використовували шкідливе програмне забезпечення як банківський троян, але в останні роки перейшли до моделі шкідливого програмного забезпечення як послуги. Зловмисники зазвичай поширюють зловмисне програмне забезпечення через фішингові електронні листи, а заражені системи зазвичай стають частиною більшого ботнету. Біля час зняття У серпні правоохоронні органи виявили близько 700,000 200,000 заражених Qakbot систем по всьому світу, близько XNUMX XNUMX з яких були розташовані в США.
Актори, пов’язані з Qakbot, все частіше використовують його як засіб для видалення інших шкідливих програм, зокрема Cobalt Strike, Brute Ratel, і безліч програм-вимагачів. У багатьох випадках брокери початкового доступу використовували Qakbot для отримання доступу до цільової мережі, а потім продавали цей доступ іншим суб’єктам загрози. «Особливо відомо, що зараження QakBot передує розгортанню програм-вимагачів, керованих людьми, зокрема Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal і PwndLocker», — Агентство кібербезпеки та безпеки інфраструктури США зазначено в заяві, яка оголосила про ліквідацію правоохоронними органами на початку цього року.
Зняття тільки сповільнило Qakbot
Недавнє виявлення зловмисного програмного забезпечення Qakbot підтверджує те, про що повідомляли деякі постачальники в останні місяці: видалення правоохоронними органами мало менший вплив на учасників Quakbot, ніж зазвичай сприймається.
У жовтні, наприклад, мисливці за загрозами в Cisco Talos повідомили, що афілійовані з Qakbot актори продовжували поширювати бекдор Remcos і програми-вимагачі Ransom Knight протягом тижнів і місяців після захоплення ФБР інфраструктури Qakbot. Дослідник безпеки Talos Guilherme Venere побачив це як ознаку того, що серпнева операція правоохоронних органів, можливо, вивела з ладу лише командно-контрольні сервери Qakbot, а не його механізми доставки спаму.
«Хоча ми не бачили загрозливих суб’єктів, які розповсюджували сам Qakbot після знищення інфраструктури, ми вважаємо, що зловмисне програмне забезпечення й надалі представлятиме значну загрозу», — сказав тоді Венере. «Ми вважаємо це ймовірним, оскільки розробники не були заарештовані та все ще працюють, відкриваючи можливість того, що вони можуть вирішити відновити інфраструктуру Qakbot».
Охоронна фірма Lumu заявила, що нарахувала загалом 1,581 спробу атаки на своїх клієнтів у вересні, які були пов’язані з Qakbot. За даними компанії, у наступні місяці активність залишалася більш-менш на тому ж рівні. Більшість атак були спрямовані на організації у фінансовому, виробничому, освітньому та державному секторах.
Продовження розповсюдження зловмисного програмного забезпечення групою загроз свідчить про те, що їй вдалося уникнути значних наслідків, каже генеральний директор Lumu Рікардо Вілладьєго. Здатність групи продовжувати роботу в першу чергу залежить від економічної доцільності, технічних можливостей і простоти створення нової інфраструктури, зазначає він. «Оскільки модель програм-вимагачів залишається прибутковою, а юридичні зусилля не спрямовані конкретно на осіб і структуру, що лежить в основі цих злочинних операцій, стає складно повністю нейтралізувати будь-яку мережу шкідливого програмного забезпечення, подібну до цієї».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback
- : має
- :є
- : ні
- $UP
- 000
- 1
- 11
- 200
- 28
- 7
- 700
- a
- здатність
- доступ
- За
- діяльність
- актори
- AES
- після
- знову
- Також
- an
- та
- та інфраструктури
- Оголошуючи
- будь-який
- з'являтися
- ЕСТЬ
- навколо
- арештований
- AS
- оцінити
- At
- нападки
- спробував
- Серпня
- Влада
- authors
- назад
- закулісний
- Banking
- заснований
- BE
- ставати
- стає
- було
- перед тим
- почалася
- буття
- більший
- Black
- ботнет
- брокери
- але
- Кампанія
- можливості
- Генеральний директор
- складні
- Вибирати
- Кобальт
- компанія
- повністю
- Компрометація
- підтвердити
- Підтверджено
- Наслідки
- містяться
- Conti
- продовжувати
- триває
- триває
- Кримінальну
- Поточний
- Клієнти
- Кібербезпека
- день
- Днів
- грудня
- розгортання
- описаний
- розробників
- в цифровому вигляді
- поширювати
- розподілений
- розповсюдження
- розподіл
- завантажень
- Падіння
- охрестили
- Раніше
- простота
- Економічний
- Освіта
- зусилля
- повідомлення електронної пошти
- вбудований
- Співробітник
- шифрування
- примус
- налагодження
- оцінка
- Втеча
- виконання
- виконання
- експорт
- fbi
- здійсненність
- фінансування
- Фірма
- після
- для
- раніше
- Вперед
- чотири
- від
- Отримувати
- в цілому
- даний
- Уряд
- Group
- було
- Мати
- притулок
- he
- петлі
- гостинність
- HTTPS
- ідентифікований
- Impact
- in
- У тому числі
- все більше і більше
- вказує
- осіб
- інфекції
- Інфраструктура
- початковий
- екземпляр
- Інтелект
- Міжнародне покриття
- викликали
- IRS
- IT
- ЙОГО
- сам
- JPG
- лицар
- відомий
- пізніше
- закон
- правозастосування
- найменш
- Led
- легальний
- менше
- рівень
- як
- Ймовірно
- розташований
- Довго
- низький
- шкідливих програм
- вдалося
- виробництво
- багато
- Може..
- механізми
- Microsoft
- модель
- момент
- місяців
- більше
- найбільш
- переміщення
- MSI
- мережу
- Нові
- особливо
- зазначив,
- примітки
- відзначивши,
- листопад
- жовтень
- of
- on
- тільки
- відкриття
- операційний
- операція
- оперативний
- операції
- Оператори
- or
- організації
- спочатку
- Інше
- з
- частина
- особливо
- Минуле
- шлях
- сприймається
- phishing
- Вибори
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- поза
- можливість
- пошта
- розміщені
- Пости
- раніше
- в першу чергу
- прибутковий
- Викуп
- вимагачів
- отримано
- останній
- щодо
- залишився
- залишається
- Повідомляється
- запитів
- дослідник
- Дослідники
- зло
- королівський
- s
- Зазначений
- то ж
- бачив
- говорить
- сектор
- Сектори
- безпеку
- побачити
- бачачи
- бачив
- Захоплення
- відправка
- Вересень
- Сервери
- кілька
- показаний
- підпис
- підписаний
- значний
- аналогічний
- з
- So
- проданий
- деякі
- конкретний
- конкретно
- Заява
- Як і раніше
- удар
- структура
- наступні
- Systems
- прийняті
- талори
- Мета
- цільове
- цілі
- технічний
- ніж
- Що
- Команда
- закон
- Ці
- вони
- це
- У цьому році
- хоча?
- загроза
- актори загроз
- час
- відмітка часу
- до
- Усього:
- троянець
- типово
- що лежить в основі
- URL
- us
- використовуваний
- користувач
- використання
- зазвичай
- автомобіль
- постачальники
- версія
- через
- обсяг
- Обсяги
- було
- we
- тижня
- ДОБРЕ
- були
- Що
- який
- в той час як
- широко
- волі
- windows
- з
- Виграв
- світовий
- X
- рік
- років
- зефірнет