Une analyse du malware « évasif et tenace » connu sous le nom de QBot a révélé que 25% de ses serveurs de commande et de contrôle (C2) ne sont actifs que pendant une seule journée.
De plus, 50% des serveurs ne restent pas actifs plus d’une semaine, signe de l’utilisation d’une solution adaptable et dynamique Infrastructure C2a déclaré Lumen Black Lotus Labs dans un rapport partagé avec The Hacker News.
« Ce botnet a adapté des techniques pour dissimuler son infrastructure dans un espace IP résidentiel et des serveurs Web infectés, au lieu de se cacher dans un réseau de serveurs privés virtuels (VPS) hébergés », ont déclaré les chercheurs en sécurité Chris Formosa et Steve Rudd.
QBot, également appelé QakBot et Pinkslipbot, est une menace persistante et puissante qui a commencé comme un cheval de Troie bancaire avant de devenir un téléchargeur pour d’autres charges utiles, y compris les ransomwares. Ses origines remontent à 2007.
Le logiciel malveillant arrive sur les appareils des victimes via des e-mails de harponnage, qui intègrent directement des fichiers de leurre ou contiennent des URL intégrées menant à des documents leurres.
Les acteurs de la menace derrière QBot ont continuellement amélioré leurs tactiques au fil des ans pour infiltrer les systèmes des victimes en utilisant différentes méthodes telles que le piratage de fils de messagerie, la contrebande HTML et l’emploi types de pièces jointes peu courantes passer les barrières de sécurité.
Un autre aspect notable de l’opération est le modus operandi lui-même : les campagnes de malspam de QBot se déroulent sous la forme de rafales d’activité intense suivies de périodes de peu ou pas d’attaques, pour refaire surface avec une chaîne d’infection remaniée.
Alors que les vagues de phishing portant QBot au début de 2023 ont exploité Microsoft OneNote comme vecteur d’intrusion, les attaques récentes ont employé fichiers PDF protégés pour installer le malware sur les machines victimes.
La dépendance de QakBot aux serveurs Web et aux hôtes compromis existant dans l’espace IP résidentiel pour C2 se traduit par une brève durée de vie, conduisant à un scénario où 70 à 90 nouveaux serveurs émergent sur une période de sept jours en moyenne.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
« Qakbot conserve sa résilience en transformant les machines victimes en C2 », ont déclaré les chercheurs, ajoutant qu’il reconstitue « l’offre de C2 via des bots qui se transforment ensuite en C2 ».
Selon données publié par Team Cymru le mois dernier, la majorité des serveurs Qakbot bot C2 sont soupçonnés d’être des hôtes compromis qui ont été achetés auprès d’un courtier tiers, la plupart d’entre eux étant situés en Inde en mars 2023.
L’examen de l’infrastructure d’attaque par Black Lotus Labs a en outre révélé la présence d’un serveur de backconnect qui transforme un « nombre significatif » de bots infectés en un proxy qui peut ensuite être annoncé à d’autres fins malveillantes.
« Qakbot a persévéré en adoptant une approche rapide sur le terrain pour construire et développer son architecture », ont conclu les chercheurs.
« Bien qu’il ne repose pas sur des chiffres absolus comme Emotet, il démontre un savoir-faire technique en variant les méthodes d’accès initiales et en maintenant une architecture C2 résidentielle résiliente mais évasive. »