Araştırmacılar, kısa süre önce FBI tarafından “ortadan kaldırılan” kötü şöhretli kötü amaçlı yazılım operasyonu Qakbot’un arkasındaki bilgisayar korsanlarının hala aktif olduğunu ve yeni kurbanları hedeflemeye devam ettiğini söylüyor.
FBI Ağustos ayında, dünya çapında 700.000’den fazla makineye bulaşarak yüz milyonlarca dolarlık hasara neden olan uzun süredir devam eden Qakbot kötü amaçlı yazılımının altyapısını başarılı bir şekilde “bozduğunu ve parçaladığını” duyurdu. FBI o sırada “Ördek Avı Operasyonu” olarak adlandırılan yayından kaldırma işleminin 52 sunucunun ele geçirilmesini içerdiğini ve ajansın söylediğine göre botnet’in “kalıcı olarak parçalanacağını” söylemişti.
Cisco Talos’un yeni araştırmasına göre, bu çabalara rağmen Qakbot kötü amaçlı yazılımının arkasındaki bilgisayar korsanları yeni kurbanlara spam göndermeye devam ediyor.
Araştırmacılar, bilgisayar korsanlarının ağustos ayının başından bu yana, Cyclops hizmet olarak fidye yazılımı operasyonunun yeni markası olan Ransom Knight fidye yazılımını ve saldırganlara güvenlik sağlayan Remcos uzaktan erişim truva atını dağıttıkları bir kampanya yürüttüklerini gözlemlediklerini söylüyor. Kimlik avı e-postaları göndererek kurbanın makinesine tam erişim. Talos araştırmacısı Guilherme Venere, TechCrunch’a saldırganların RedLine bilgi hırsızı kötü amaçlı yazılımını ve Darkgate arka kapısını da dağıtmaya başladığını söyledi.
Talos, bu kampanyanın arkasında Qakbot’a bağlı bilgisayar korsanlarının olduğunu “orta derecede güvenle” değerlendirdiğini ve kullanılan dosya adlarının acil mali konu temalarıyla birlikte önceki Qakbot kampanyalarıyla tutarlı olduğunu belirtti.
Talos, kullanılan kötü amaçlı dosya adlarının İtalyanca yazıldığını, bunun da hackerların çoğunlukla o bölgedeki kullanıcıları hedef aldığını gösterdiğini, kampanyanın İngilizce ve Almanca konuşan kişileri de hedef aldığını belirtti. Venere, TechCrunch’a kampanyanın gerçek kapsamını belirlemenin zor olduğunu ancak Qakbot dağıtım ağının son derece etkili olduğunu ve büyük ölçekli kampanyaları yürütme yeteneğine sahip olduğunu söyledi.
Önceki Qakbot kurbanları arasında Illinois merkezli bir enerji mühendisliği firması; Alabama, Kansas ve Maryland merkezli finansal hizmet kuruluşları; Maryland merkezli bir savunma üreticisi; ve FBI’a göre Güney Kaliforniya’da bir gıda dağıtım şirketi.
Araştırmacılara göre FBI’ın görevden alınmasından önce başlayan bu kampanya devam ediyor. Talos’a göre bu, Ördek Avı Operasyonunun Qakbot operatörlerinin spam dağıtım altyapısını değil, yalnızca komuta ve kontrol (C2) sunucularını etkilediğini gösteriyor.
Venere, “Geliştiriciler tutuklanmadığı ve Talos bunların hala çalışır durumda olduğunu değerlendirdiği için Qakbot muhtemelen ileriye dönük olarak önemli bir tehdit oluşturmaya devam edecek” dedi. Talos, saldırganların Qakbot altyapısını yeniden inşa etmeyi seçebileceklerini ve böylece yayından kaldırma öncesi faaliyetlerine tamamen devam etmelerini sağlayabileceklerini belirtti.
İsimsiz bir FBI sözcüsü yorum yapmaktan kaçındı.