QBot olarak bilinen “kaçak ve inatçı” kötü amaçlı yazılımın analizi, komuta ve kontrol (C2) sunucularının %25’inin yalnızca bir gün boyunca aktif olduğunu ortaya çıkardı.
Ayrıca, sunucuların %50’si bir haftadan fazla aktif kalmıyor, bu da uyarlanabilir ve dinamik bir sunucunun kullanıldığını gösteriyor. C2 altyapısıLumen Black Lotus Labs, The Hacker News ile paylaştığı bir raporda söyledi.
Güvenlik araştırmacıları Chris Formosa ve Steve Rudd, “Bu botnet, barındırılan sanal özel sunuculardan (VPS’ler) oluşan bir ağda saklanmak yerine, altyapısını konut IP alanında ve virüslü web sunucularında gizlemek için teknikler uyarladı” dedi.
QakBot ve Pinkslipbot olarak da adlandırılan QBot, fidye yazılımı da dahil olmak üzere diğer yükler için bir indiriciye dönüşmeden önce bir bankacılık truva atı olarak başlayan kalıcı ve güçlü bir tehdittir. Kökenleri 2007 yılına kadar gitmektedir.
Kötü amaçlı yazılım, kurbanların cihazlarına doğrudan sahte dosyaları içeren veya sahte belgelere yönlendiren katıştırılmış URL’ler içeren hedef odaklı kimlik avı e-postaları yoluyla ulaşır.
QBot’un arkasındaki tehdit aktörleri, sürekli geliştirilmiş E-posta dizisini ele geçirme, HTML kaçakçılığı gibi farklı yöntemler kullanarak kurban sistemlerine sızmak için yıllardır taktikleri ve yaygın olmayan ek türleri güvenlik bariyerlerini aşmak için.
Operasyonun bir diğer dikkate değer yönü, çalışma tarzının kendisidir: QBot’un malspam kampanyaları, yalnızca yenilenmiş bir enfeksiyon zinciriyle yeniden yüzeye çıkmak için çok az veya hiç saldırı yapılmayan yoğun aktivite patlamaları şeklinde oynanır.
2023’ün başında QBot’u taşıyan kimlik avı dalgalarından yararlanılırken Microsoft OneNote bir izinsiz giriş vektörü olarak, son saldırılar korumalı PDF dosyaları kötü amaçlı yazılımı kurban makinelere yüklemek için.
QakBot’un C2 için konut IP alanında bulunan güvenliği ihlal edilmiş web sunucularına ve ana bilgisayarlara güvenmesi, kısa bir kullanım ömrü anlamına gelir ve ortalama olarak yedi günlük bir süre içinde 70 ila 90 yeni sunucunun ortaya çıktığı bir senaryoya yol açar.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Araştırmacılar, “Qakbot, kurban makineleri C2’lere dönüştürerek dayanıklılığı koruyor” dedi ve “daha sonra C2’lere dönüşen botlar aracılığıyla C2’lerin arzını” yenilediğini ekledi.
Buna göre veri Team Cymru tarafından geçen ay piyasaya sürülen Qakbot bot C2 sunucularının çoğunun, Mart 2023 itibarıyla çoğu Hindistan’da bulunan ve üçüncü taraf bir aracıdan satın alınan, ele geçirilmiş ana bilgisayar olduğundan şüpheleniliyor.
Black Lotus Labs’ın saldırı altyapısı incelemesi, ayrıca bir geri bağlantı sunucusu bu, virüslü botların “önemli bir sayısını” daha sonra başka kötü amaçlar için reklamı yapılabilecek bir proxy’ye dönüştürür.
Araştırmacılar, “Qakbot, mimarisini inşa etmek ve geliştirmek için sahaya uygun bir yaklaşım benimseyerek sebat etti.”
“Emotet gibi tam sayılara dayanmasa da, çeşitli ilk erişim yöntemlerini kullanarak ve esnek ama kaçamak bir konut C2 mimarisini koruyarak teknik hüner sergiliyor.”