Спостереження Qakbot підтверджують, що ліквідація правоохоронними органами була лише невдачею

Зловмисне програмне забезпечення Qakbot повернулося менше ніж через чотири місяці після того, як американські та міжнародні правоохоронні органи демонтували його інфраструктуру розповсюдження під час операції під назвою «Качина полювання».

Останніми днями кілька постачальників засобів безпеки повідомили про те, що зловмисне програмне забезпечення поширюється через фішингові електронні листи, націлені на організації в готельному секторі. На даний момент обсяг електронної пошти виглядає відносно невеликим. Але враховуючи наполегливість, яку оператори Qakbot демонстрували в минулому, швидше за все, невдовзі обсяг знову зросте.

Невеликі обсяги — поки що

Група аналізу загроз Microsoft оцінила, що нова кампанія почалася 11 грудня на основі мітки часу в корисному навантаженні, використаному в останніх атаках. Цілі отримували електронні листи з вкладенням у форматі PDF від користувача, який нібито є співробітником IRS, повідомила компанія в кілька дописів на X, платформа, раніше відома як Twitter. «PDF містив URL-адресу, яка завантажує інсталятор Windows із цифровим підписом (.msi)», — опублікувала Microsoft. «Виконання MSI призвело до виклику Qakbot за допомогою експорту «hvsi» виконання вбудованої DLL». Дослідники описали версію Qakbot, яку загрозливий актор поширює в новій кампанії, як версію, яку раніше не бачили.

Zscaler також спостерігав за появою шкідливих програм. У дописі на X компанія визначив нову версію як 64-розрядний, використовуючи AES для шифрування мережі та надсилаючи запити POST за певним шляхом у скомпрометованих системах. Proofpoint підтвердив подібні спостереження на день пізніше, а також зазначивши, що PDF-файли поточної кампанії розповсюджуються принаймні з 28 листопада.

Тривала загроза

Qakbot — це особливо небезпечне шкідливе програмне забезпечення, яке існує принаймні з 2007 року. Його автори спочатку використовували шкідливе програмне забезпечення як банківський троян, але в останні роки перейшли до моделі шкідливого програмного забезпечення як послуги. Зловмисники зазвичай поширюють зловмисне програмне забезпечення через фішингові електронні листи, а заражені системи зазвичай стають частиною більшого ботнету. Біля час зняття У серпні правоохоронні органи виявили близько 700,000 200,000 заражених Qakbot систем по всьому світу, близько XNUMX XNUMX з яких були розташовані в США.

Актори, пов’язані з Qakbot, все частіше використовують його як засіб для видалення інших шкідливих програм, зокрема Cobalt Strike, Brute Ratel, і безліч програм-вимагачів. У багатьох випадках брокери початкового доступу використовували Qakbot для отримання доступу до цільової мережі, а потім продавали цей доступ іншим суб’єктам загрози. «Особливо відомо, що зараження QakBot передує розгортанню програм-вимагачів, керованих людьми, зокрема Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal і PwndLocker», — Агентство кібербезпеки та безпеки інфраструктури США зазначено в заяві, яка оголосила про ліквідацію правоохоронними органами на початку цього року.

Зняття тільки сповільнило Qakbot

Недавнє виявлення зловмисного програмного забезпечення Qakbot підтверджує те, про що повідомляли деякі постачальники в останні місяці: видалення правоохоронними органами мало менший вплив на учасників Quakbot, ніж зазвичай сприймається.

У жовтні, наприклад, мисливці за загрозами в Cisco Talos повідомили, що афілійовані з Qakbot актори продовжували поширювати бекдор Remcos і програми-вимагачі Ransom Knight протягом тижнів і місяців після захоплення ФБР інфраструктури Qakbot. Дослідник безпеки Talos Guilherme Venere побачив це як ознаку того, що серпнева операція правоохоронних органів, можливо, вивела з ладу лише командно-контрольні сервери Qakbot, а не його механізми доставки спаму.

«Хоча ми не бачили загрозливих суб’єктів, які розповсюджували сам Qakbot після знищення інфраструктури, ми вважаємо, що зловмисне програмне забезпечення й надалі представлятиме значну загрозу», — сказав тоді Венере. «Ми вважаємо це ймовірним, оскільки розробники не були заарештовані та все ще працюють, відкриваючи можливість того, що вони можуть вирішити відновити інфраструктуру Qakbot».

Охоронна фірма Lumu заявила, що нарахувала загалом 1,581 спробу атаки на своїх клієнтів у вересні, які були пов’язані з Qakbot. За даними компанії, у наступні місяці активність залишалася більш-менш на тому ж рівні. Більшість атак були спрямовані на організації у фінансовому, виробничому, освітньому та державному секторах.

Продовження розповсюдження зловмисного програмного забезпечення групою загроз свідчить про те, що їй вдалося уникнути значних наслідків, каже генеральний директор Lumu Рікардо Вілладьєго. Здатність групи продовжувати роботу в першу чергу залежить від економічної доцільності, технічних можливостей і простоти створення нової інфраструктури, зазначає він. «Оскільки модель програм-вимагачів залишається прибутковою, а юридичні зусилля не спрямовані конкретно на осіб і структуру, що лежить в основі цих злочинних операцій, стає складно повністю нейтралізувати будь-яку мережу шкідливого програмного забезпечення, подібну до цієї».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback