Kod adı verilen koordineli bir yasa uygulama çabası Ördek Avı Operasyonu Dünya çapında 700.000’den fazla bilgisayarı tehlikeye attığı ve fidye yazılımının yanı sıra finansal dolandırıcılığı da kolaylaştırdığı tahmin edilen kötü şöhretli bir Windows kötü amaçlı yazılım ailesi olan QakBot’u çökertti.
Bu amaçla ABD Adalet Bakanlığı (DoJ) söz konusu Kötü amaçlı yazılımın “kurban bilgisayarlardan silinerek daha fazla zarar vermesinin engellendiğini” belirterek, yasa dışı kar elde ederek 8,6 milyon dolardan fazla kripto para ele geçirdiğini de sözlerine ekledi.
Sınır ötesi tatbikata Fransa, Almanya, Letonya, Romanya, Hollanda, İngiltere ve ABD’nin katılımının yanı sıra siber güvenlik şirketi Zscaler’in teknik desteği de dahildi.
Bu söküm, “siber suçlular tarafından kullanılan bir botnet altyapısının ABD öncülüğünde gerçekleşen en büyük mali ve teknik kesintisi” olarak övüldü. Hiçbir tutuklama açıklanmadı.
QBot ve Pinkslipbot olarak da bilinen QakBot, hayatına 2007 yılında bir bankacılık truva atı olarak başladı ve daha sonra kurbanların haberi olmadan, fidye yazılımı da dahil olmak üzere virüs bulaşmış makinelerdeki kötü amaçlı kodlar için bir dağıtım merkezi görevi gören genel amaçlı bir İsviçre Çakısı’na dönüştü.
Bazıları büyük fidye yazılımı aileleri QakBot aracılığıyla yayılan Conti, ProLock, Egregor, REvil, MegaCortex ve Black Basta’dan oluşur. QakBot yöneticilerinin, Ekim 2021 ile Nisan 2023 arasında kurbanlardan fidye olarak yaklaşık 58 milyon dolar tutarında ücret aldıkları söyleniyor.
Birleşik Krallık Ulusal Suç Ajansı (NCA) siber istihbarat başkanı Will Lyne, “QakBot, fidye yazılımı saldırılarını ve diğer ciddi tehditleri kolaylaştırarak siber suç ekosisteminde önemli bir kolaylaştırıcıydı” dedi. söz konusu Bir açıklamada.
QakBot’a yönelik karşı saldırı, Emotet’in Ekim 2020’de benzer bir şekilde kaldırılmasının ardından geldi ve o zamandan beri arka uç altyapısında yaşanan büyük bir kesintinin ardından yeniden ortaya çıktı.
Tipik olarak kimlik avı e-postaları yoluyla dağıtılan modüler kötü amaçlı yazılım, aynı zamanda komut yürütme ve bilgi toplama yetenekleriyle donatılmış olarak gelir. Ömrü boyunca sürekli güncellemeler gördü; aktörlerin (kod adı Gold Lagoon veya Mallard Spider) spam kampanyalarına devam etmeden önce her yaz uzun aralar verdikleri biliniyor.
DoJ, “QakBot kötü amaçlı yazılımının bulaştığı kurban bilgisayarları, bir botnet’in (güvenliği ihlal edilmiş bilgisayarlardan oluşan bir ağ) parçası, bu da faillerin virüs bulaşmış tüm bilgisayarları koordineli bir şekilde uzaktan kontrol edebileceği anlamına geliyor.” dedi.
Mahkeme belgelerine göre ortak çaba, QakBot altyapısına erişim sağladı ve böylece botnet trafiğinin ABD Federal Soruşturma Bürosu (FBI) tarafından kontrol edilen sunuculara ve bu sunucular aracılığıyla yönlendirilmesini mümkün kıldı ve nihai hedef “geniş kapsamlı” saldırıları etkisiz hale getirmekti. suç teşkil eden tedarik zinciri.”
Spesifik olarak, sunucular tehlikeye atılan uç noktalara bir dosya indirmeleri talimatını verdi. kaldırıcı dosyası Bu, makinelerin QakBot botnet’inden ayrılması ve ek yüklerin teslim edilmesini etkili bir şekilde önlemek için tasarlanmıştır.
 |
| Görüntü Kaynağı: CISA |
Secureworks Karşı Tehdit Birimi (CTU) söz konusu 25 Ağustos 2023’te, bir QPCMD_BOT_SHUTDOWN komutu aracılığıyla “ana makinede çalışan QakBot işlemini temiz bir şekilde sonlandırabilen kod içeren özel bir DLL (dinamik bağlantı kitaplığı) yürütülebilir dosyasının paketini açan” botnet’in kabuk kodunu virüslü cihazlara dağıttığını tespit etti.
“Kurbanlar [in the U.S.] FBI Direktörü Christopher Wray, Doğu Yakası’ndaki finans kurumlarından, Ortabatı’daki kritik altyapı hükümet yüklenicisine ve Batı Yakası’ndaki tıbbi cihaz üreticisine kadar uzandığını söyledi. söz konusu.
Algıla, Yanıtla, Koru: Eksiksiz SaaS Güvenliği için ITDR ve SSPM
Kimlik Tehdit Algılama ve Yanıtının (ITDR) SSPM’nin yardımıyla tehditleri nasıl tanımladığını ve azalttığını keşfedin. Kurumsal SaaS uygulamalarınızın güvenliğini nasıl sağlayacağınızı ve ihlal sonrasında bile verilerinizi nasıl koruyacağınızı öğrenin.
QakBot, yeni güvenlik korkuluklarına yanıt olarak taktiklerini hızla değiştirerek, zaman içinde daha yüksek düzeyde bir karmaşıklık sergiledi. Örneğin Microsoft, tüm Office uygulamalarında makroları varsayılan olarak devre dışı bıraktıktan sonra, OneNote dosyalarını kötüye kullanmaya başladı. enfeksiyon vektörü bu senenin başlarında.
Gelişmişlik ve uyarlanabilirlik, operatörlerin saldırı zincirlerinde çok çeşitli dosya formatlarını (örneğin, PDF, HTML ve ZIP) silah haline getirme becerisinde de açıkça görülmektedir. QakBot’un komuta ve kontrol (C2) sunucularının çoğunluğu ABD, İngiltere, Hindistan, Kanada ve Fransa’da (FR) yoğunlaşmıştır. Arka uç altyapısı Rusya’da bulunmaktadır.
QakBot, Emotet ve IcedID gibi bir üç katmanlı sunucu sistemi virüslü bilgisayarlara yüklenen kötü amaçlı yazılımları kontrol etmek ve bunlarla iletişim kurmak için. Tier 1 ve Tier 2 sunucularının temel amacı, QakBot bulaşmış bilgisayarlar ile botnet’i kontrol eden Tier 3 sunucusu arasında şifrelenmiş veriler içeren iletişimleri iletmektir.
Haziran 2023 ortası itibarıyla, 63 ülkede 853 adet 1. Seviye sunucu (süper düğüm olarak da bilinir) tespit edilmiştir; 2. Seviye sunucular, ana C2 sunucusunu gizlemek için proxy görevi görmektedir. Abuse.ch tarafından toplanan veriler şunu gösteriyor: QakBot sunucular şu anda çevrimdışı.
Zscaler araştırmacıları “QakBot, stratejik olarak farklı ülkelerdeki işletmeleri hedef alan son derece gelişmiş bir bankacılık trojan kötü amaçlı yazılımıdır.” kayıt edilmiş Temmuz 2023’ün sonlarında yayınlanan kapsamlı bir analizde.
“Bu yakalanması zor tehdit, saldırı zincirinde çok sayıda dosya formatı ve gizleme yöntemi kullanıyor ve bu da onun geleneksel antivirüs motorlarının tespitinden kaçmasına olanak tanıyor. Çeşitli saldırı zincirleri ile yaptığı deneyler sayesinde, QakBot’un arkasındaki tehdit aktörünün stratejilerini sürekli olarak geliştirdiği açıkça ortaya çıkıyor.”
QakBot aynı zamanda 2023’ün ikinci çeyreğinde de en aktif kötü amaçlı yazılım ailelerinden biri oldu. HP Kurt Güvenliği18’e kadar benzersiz saldırı zincirinden yararlanan ve zaman dilimi boyunca 56 kampanyayı kapsayan bu durum, e-suç grubunun “ağ savunmasındaki boşluklardan yararlanmak için ticari becerilerini hızlı bir şekilde değiştirme” konusundaki tutkusunun altını çiziyor.