قک بوٹ سائٹنگز نے تصدیق کی کہ قانون نافذ کرنے والے کو ہٹانا صرف ایک دھچکا تھا۔

امریکی اور بین الاقوامی قانون نافذ کرنے والے حکام نے اس کے ڈسٹری بیوشن انفراسٹرکچر کو ختم کرنے کے بعد قاک بوٹ میلویئر چار ماہ سے بھی کم وقت میں واپس آ گیا ہےبتھ ہنٹ".

حالیہ دنوں میں، کئی سیکیورٹی وینڈرز نے میلویئر کو فشنگ ای میلز کے ذریعے تقسیم کیے جانے کی اطلاع دی ہے جو مہمان نوازی کے شعبے میں تنظیموں کو نشانہ بناتے ہیں۔ اس وقت، ای میل کی مقدار نسبتاً کم دکھائی دیتی ہے۔ لیکن ماضی میں قکبوٹ آپریٹرز نے جس سختی کا مظاہرہ کیا ہے اس کے پیش نظر، حجم دوبارہ بڑھنے میں زیادہ دیر نہیں لگے گی۔

کم حجم - اب تک

مائیکروسافٹ کے تھریٹ انٹیلی جنس گروپ نے اندازہ لگایا ہے کہ نئی مہم 11 دسمبر کو شروع ہوئی، حالیہ حملوں میں استعمال ہونے والے پے لوڈ میں ٹائم اسٹیمپ کی بنیاد پر۔ کمپنی نے کہا کہ اہداف کو ایک صارف کی طرف سے پی ڈی ایف اٹیچمنٹ کے ساتھ ای میلز موصول ہوئی ہیں جو IRS میں ملازم ہونے کا دعویٰ کرتے ہیں۔ X پر متعدد پوسٹس، پلیٹ فارم جو پہلے ٹویٹر کے نام سے جانا جاتا تھا۔ مائیکروسافٹ نے پوسٹ کیا، "پی ڈی ایف میں ایک یو آر ایل ہے جو ڈیجیٹل طور پر دستخط شدہ ونڈوز انسٹالر (.msi) کو ڈاؤن لوڈ کرتا ہے۔" "ایم ایس آئی کو انجام دینے کے نتیجے میں ایک ایمبیڈڈ DLL کی برآمد 'hvsi' عمل درآمد کا استعمال کرتے ہوئے Qakbot کو طلب کیا گیا۔" محققین نے قکبوٹ ورژن کی وضاحت کی جسے دھمکی دینے والا اداکار نئی مہم میں پہلے سے نظر نہ آنے والے ورژن کے طور پر تقسیم کر رہا ہے۔

Zscaler نے میلویئر سرفیسنگ کا بھی مشاہدہ کیا۔ ایکس پر ایک پوسٹ میں، کمپنی نئے ورژن کی نشاندہی کی۔ 64 بٹ کے طور پر، نیٹ ورک انکرپشن کے لیے AES کا استعمال کرتے ہوئے اور کمپرومائزڈ سسٹمز پر ایک مخصوص راستے پر POST کی درخواستیں بھیجنا۔ پروف پوائنٹ نے اسی طرح کے دیکھنے کی تصدیق کی۔ ایک دن بعد یہ بھی نوٹ کرتے ہوئے کہ موجودہ مہم میں پی ڈی ایف کم از کم 28 نومبر سے تقسیم کیے جا چکے ہیں۔

طویل مروجہ خطرہ

قاک بوٹ خاص طور پر نقصان دہ میلویئر ہے جو کم از کم 2007 سے موجود ہے۔ اس کے مصنفین نے اصل میں میلویئر کو بینکنگ ٹروجن کے طور پر استعمال کیا تھا لیکن حالیہ برسوں میں ایک میلویئر کے طور پر ایک سروس ماڈل کی طرف موڑ دیا گیا ہے۔ دھمکی آمیز اداکاروں نے عام طور پر میلویئر کو فشنگ ای میلز کے ذریعے تقسیم کیا ہے، اور متاثرہ نظام عام طور پر ایک بڑے بوٹ نیٹ کا حصہ بن جاتے ہیں۔ میں ہٹانے کا وقت اگست میں، قانون نافذ کرنے والے اداروں نے دنیا بھر میں تقریباً 700,000 قاکبوٹ سے متاثرہ نظاموں کی نشاندہی کی، جن میں سے تقریباً 200,000 امریکہ میں واقع تھے۔

قک بوٹ سے وابستہ اداکاروں نے اسے تیزی سے دوسرے میلویئر، خاص طور پر کوبالٹ اسٹرائیک کو چھوڑنے کے لیے ایک گاڑی کے طور پر استعمال کیا ہے۔ بروٹ رتیل، اور رینسم ویئر کا ایک مجموعہ۔ بہت سی صورتوں میں، ابتدائی رسائی کے بروکرز نے ٹارگٹ نیٹ ورک تک رسائی حاصل کرنے کے لیے Qakbot کا استعمال کیا ہے اور بعد میں اس رسائی کو دوسرے خطرے والے اداکاروں کو فروخت کیا ہے۔ "QakBot انفیکشن خاص طور پر انسانی آپریٹڈ رینسم ویئر کی تعیناتی سے پہلے جانا جاتا ہے، بشمول Conti، ProLock، Egregor، REvil، Megacortex، Black Basta، Royal، اور PwndLocker،" یو ایس سائبر سیکیورٹی اینڈ انفراسٹرکچر سیکیورٹی ایجنسی اس سال کے شروع میں قانون نافذ کرنے والے اداروں کے خاتمے کا اعلان کرتے ہوئے ایک بیان میں نوٹ کیا گیا۔

ٹیک ڈاؤن صرف سست ققبوٹ

قاک بوٹ میلویئر کے حالیہ نظارے اس بات کی تصدیق کرتے ہیں کہ حالیہ مہینوں میں کچھ دکانداروں نے کیا اطلاع دی ہے: قانون نافذ کرنے والے اداروں کے ہٹانے کا Quakbot اداکاروں پر عام طور پر سمجھا جانے سے کم اثر پڑا۔

اکتوبر میں، مثال کے طور پر، خطرے کا شکار کرنے والے سسکو ٹالس نے اطلاع دی کہ قک بوٹ سے وابستہ اداکار ایف بی آئی کے قکبوٹ کے انفراسٹرکچر پر قبضے کے بعد ہفتوں اور مہینوں میں ریمکوس بیک ڈور اور رینسم نائٹ رینسم ویئر کی تقسیم جاری رکھے ہوئے تھے۔ Talos سیکورٹی محقق Guilherme Venere نے دیکھا کہ اگست کے قانون نافذ کرنے والے آپریشن نے صرف Qakbot کے کمانڈ اینڈ کنٹرول سرورز کو نکالا ہے نہ کہ اس کے سپیم ڈیلیوری کے طریقہ کار کو۔

"اگرچہ ہم نے بنیادی ڈھانچے کے خاتمے کے بعد قابوٹ کو خود کو تقسیم کرنے والے دھمکی آمیز اداکاروں کو نہیں دیکھا، لیکن ہم اندازہ لگاتے ہیں کہ میلویئر آگے بڑھتے ہوئے ایک اہم خطرہ لاحق رہے گا،" وینیر نے اس وقت کہا۔ "ہم اس کا امکان دیکھتے ہیں کیونکہ ڈویلپرز کو گرفتار نہیں کیا گیا تھا اور وہ ابھی تک کام کر رہے ہیں، اس امکان کو کھولتے ہیں کہ وہ قکبوٹ کے بنیادی ڈھانچے کی تعمیر نو کا انتخاب کر سکتے ہیں۔"

سیکیورٹی فرم لومو نے کہا کہ اس نے ستمبر میں اپنے صارفین پر حملوں کی کل 1,581 کوششیں کیں جو کہ قکبوٹ سے منسوب تھیں۔ کمپنی کے مطابق، بعد کے مہینوں میں، سرگرمی کم و بیش اسی سطح پر رہی۔ زیادہ تر حملوں میں فنانس، مینوفیکچرنگ، تعلیم اور سرکاری شعبوں میں تنظیموں کو نشانہ بنایا گیا ہے۔

Lumu کے سی ای او ریکارڈو ولادیگو کا کہنا ہے کہ دھمکی گروپ کی طرف سے مالویئر کی مسلسل تقسیم سے پتہ چلتا ہے کہ یہ اہم نتائج سے بچنے میں کامیاب رہا۔ انہوں نے نوٹ کیا کہ گروپ کی کام جاری رکھنے کی صلاحیت بنیادی طور پر اقتصادی فزیبلٹی، تکنیکی صلاحیتوں اور نئے انفراسٹرکچر کے قیام میں آسانی پر منحصر ہے۔ "چونکہ رینسم ویئر ماڈل منافع بخش رہتا ہے اور قانونی کوششوں نے خاص طور پر افراد اور ان مجرمانہ کارروائیوں کے بنیادی ڈھانچے کو نشانہ نہیں بنایا ہے، اس لیے اس طرح کے کسی بھی میلویئر نیٹ ورک کو مکمل طور پر بے اثر کرنا مشکل ہو جاتا ہے۔"

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback