Siber güvenlik araştırmacıları açıklanmış Kötü şöhretli Qakbot yükleyicisine bağlı tehdit aktörleri tarafından geliştirilen yeni bir backconnect (BC) kötü amaçlı yazılımının detayları.
Walmart’ın siber istihbarat ekibi Hacker News’e verdiği demeçte, “BackConnect, tehdit aktörleri tarafından kalıcılığı korumak ve görevleri yerine getirmek için kullanılan ortak bir özellik veya modüldür.” Dedi. “Kullanılan Backconnect (ler), buzlu backonnect (Anahtar deliği). “
Şirket, BC modülünün, yakın zamanda komut ve kontrol (C2) iletişim için bir alan adı sistemi (DNS) tüneli dahil etmek üzere güncellenen Zloader adlı başka bir kötü amaçlı yazılım yükleyicisi dağıtımı gözlemlenen aynı altyapı üzerinde bulunduğunu belirtti.
QBOT ve Pinkslipbot olarak da adlandırılan Qakbot, altyapısı Duck Hunt adlı koordineli bir kolluk çabasının bir parçası olarak ele geçirildikten sonra 2023’te büyük bir operasyonel gerileme yaşadı. O zamandan beri, sporadik kampanyalar kötü amaçlı yazılımları yayarak ortaya çıkarıldı.
Başlangıçta bir bankacılık Truva atı olarak tasarlanan, daha sonra fidye yazılımı gibi bir hedef sisteme gelecek aşama yükleri teslim edebilen bir yükleyici haline getirildi. Qakbot’un IcicedID ile birlikte dikkate değer bir özelliği, tehdit aktörlerine ana makineyi vekil olarak kullanma ve gömülü bir VNC bileşeni aracılığıyla uzaktan erişim kanalı sunan BC modülüdür.
Walmart’ın analizi, BC modülünün, eski qakbot örneklerine referansların yanı sıra, aşağı yukarı takip eden sömürüyü kolaylaştırmak için özerk bir program görevi gören sistem bilgilerini toplamak için daha da geliştirildiğini ve geliştirildiğini ortaya koydu.
Walmart, “Bu durumda, bahsettiğimiz kötü amaçlı yazılım, bir tehdit aktörünün klavye erişiminde ellere sahip olmasına izin vermek için bir araç olarak backconnect kullanan bağımsız bir arka kapıdır.” Dedi. Diyerek şöyle devam etti: “Bu ayrım, bu arka havanın sistem bilgilerini topladığı gerçeğiyle daha da belirgindir.”
BC kötü amaçlı yazılım, Sophos tarafından, eserleri STAC5777 olarak izlediği bir tehdit kümesine atfeten ve sırayla, Black Basta için hızlı yardımı kötüye kullandığı bilinen bir siber suçlu grubu ile örtüşen bağımsız bir analizin konusu olmuştur. Teknik destek personeli olarak poz vererek fidye yazılımı dağıtım.
İngiliz Siber Güvenlik Şirketi, FIN7 ile olası bağları olan bir tehdit grubu olan STAC5777 ve STAC5143’ün başvurduğunu belirtti. E -posta Bombalama ve Microsoft ekipleri, potansiyel hedeflere uğramış ve Python Backroors ve Black Basta fidye yazılımlarını yüklemek için Saldırganlara Hızlı Assist veya Teams’ın yerleşik ekran paylaşımı aracılığıyla bilgisayarlarına uzaktan erişim sağlamaları için onları kandırır.
“Her iki tehdit aktörleri de kendi Microsoft Office 365 hizmet kiracılarını saldırılarının bir parçası olarak işletti ve harici alanlardaki kullanıcıların sohbet veya dahili kullanıcılarla toplantılar başlatmasına izin veren varsayılan bir Microsoft Teams yapılandırmasından yararlandı.” söz konusu.
Siyah basta operatörleri Daha önce güveniyordu Qakbot’ta fidye yazılımını dağıtmak için, yeni bir BC modülünün ortaya çıkışı, siyah Basta’nın son aylarda zloader’ı da dağıtması ile birlikte, Qakbot’un arkasındaki geliştiricilerin muhtemelen siyah basta’yı desteklediği bir arada birbirine bağlı siber suç ekosisteminin bir resmini çiziyor Walmart, yeni araçlarla takımın.


