Qakbot kötü amaçlı yazılımı, ABD’li ve uluslararası kolluk kuvvetlerinin, geniş çapta alkışlanan ” “Ördek avı“
Son günlerde birçok güvenlik sağlayıcısı, kötü amaçlı yazılımın konaklama sektöründeki kuruluşları hedef alan kimlik avı e-postaları aracılığıyla dağıtıldığını gördüklerini bildirdi. Şu an için e-posta hacimleri nispeten düşük görünüyor. Ancak Qakbot operatörlerinin geçmişte gösterdiği kararlılık göz önüne alındığında, hacmin yeniden artması çok uzun sürmeyecek.
Düşük Hacimler — Şu ana kadar
Microsoft’un tehdit istihbarat grubu, son saldırılarda kullanılan yükteki zaman damgasına dayanarak yeni saldırının 11 Aralık’ta başlayacağını tahmin etti. Şirket, hedeflerin IRS çalışanı olduğunu iddia eden bir kullanıcıdan PDF eki içeren e-postalar aldığını söyledi. X’te birden fazla gönderi, eski adı Twitter olan platform. Microsoft, “PDF, dijital olarak imzalanmış bir Windows Installer’ı (.msi) indiren bir URL içeriyordu” dedi. “MSI’nın çalıştırılması, Qakbot’un gömülü bir DLL’nin dışa aktarma ‘hvsi’ yürütmesi kullanılarak çağrılmasına yol açtı.” Araştırmacılar, tehdit aktörünün yeni kampanyada dağıttığı Qakbot versiyonunun daha önce görülmemiş bir versiyon olduğunu açıkladı.
Zscaler kötü amaçlı yazılımın ortaya çıktığını da gözlemledi. Şirket, X’teki bir gönderide yeni sürümü belirledim 64 bit olarak, ağ şifrelemesi için AES kullanıyor ve güvenliği ihlal edilmiş sistemlerde POST isteklerini belirli bir yola gönderiyor. Proofpoint benzer gözlemleri doğruladı Bir gün sonra ise mevcut kampanyadaki PDF’lerin en az 28 Kasım’dan bu yana dağıtıldığını da belirtti.
Uzun Süreli Yaygın Tehdit
Qakbot, özellikle en az 2007’den beri ortalıkta olan zararlı bir kötü amaçlı yazılımdır. Yazarları, kötü amaçlı yazılımı başlangıçta bir bankacılık Truva atı olarak kullanmış ancak son yıllarda, hizmet olarak kötü amaçlı yazılım modeline yönelmişlerdir. Tehdit aktörleri genellikle kötü amaçlı yazılımı kimlik avı e-postaları yoluyla dağıtır ve virüslü sistemler genellikle daha büyük bir botnet’in parçası haline gelir. Şunda yayından kaldırma zamanı Ağustos ayında kolluk kuvvetleri dünya çapında 700.000 kadar Qakbot bulaşmış sistem tespit etti; bunların yaklaşık 200.000’i ABD’de bulunuyordu.
Qakbot’a bağlı aktörler, başta Cobalt Strike olmak üzere diğer kötü amaçlı yazılımları ortadan kaldırmak için onu giderek daha fazla bir araç olarak kullanıyor. Kaba Ratel, ve bir sürü fidye yazılımı. Çoğu durumda, ilk erişim aracıları hedef ağa erişim sağlamak için Qakbot’u kullandı ve daha sonra bu erişimi diğer tehdit aktörlerine sattı. “QakBot enfeksiyonlarının özellikle Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal ve PwndLocker dahil olmak üzere insanlar tarafından çalıştırılan fidye yazılımlarının dağıtımından önce geldiği biliniyor.” ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı Bu yılın başlarında kolluk kuvvetlerinin yayından kaldırıldığını duyuran bir açıklamada belirtildi.
Yayından Kaldırma Yalnızca Qakbot’u Yavaşlattı
Son zamanlarda görülen Qakbot kötü amaçlı yazılımları, bazı satıcıların son aylarda bildirdiği şeyi doğruluyor gibi görünüyor: Emniyet güçlerinin yayından kaldırması, Quakbot aktörleri üzerinde genel olarak algılanandan daha az etki yarattı.
Örneğin Ekim ayında tehdit avcıları Cisco Talos Qakbot’a bağlı aktörlerin, FBI’ın Qakbot altyapısına el koymasını takip eden haftalar ve aylarda Remcos arka kapısını ve Ransom Knight fidye yazılımını dağıtmaya devam ettiğini bildirdi. Talos güvenlik araştırmacısı Guilherme Venere, bunu Ağustos ayındaki kolluk kuvvetleri operasyonunun spam dağıtım mekanizmalarını değil, yalnızca Qakbot’un komuta ve kontrol sunucularını devre dışı bırakmış olabileceğinin bir işareti olarak gördü.
Venere o dönemde “Tehdit aktörlerinin altyapının kaldırılmasından sonra Qakbot’un kendisini dağıttığını görmemiş olsak da, kötü amaçlı yazılımın gelecekte önemli bir tehdit oluşturmaya devam edeceğini değerlendiriyoruz” dedi. “Geliştiricilerin tutuklanmadığı ve hala çalışır durumda olduğu göz önüne alındığında, bunun muhtemel olduğunu görüyoruz, bu da onların Qakbot altyapısını yeniden inşa etmeyi seçebilecekleri ihtimalini ortaya çıkarıyor.”
Güvenlik firması Lumu, Eylül ayında müşterilerine yönelik Qakbot’a atfedilebilecek toplam 1.581 saldırı girişimi saydığını söyledi. Şirkete göre sonraki aylarda faaliyet aşağı yukarı aynı seviyede kaldı. Saldırıların çoğu finans, imalat, eğitim ve kamu sektörlerindeki kuruluşları hedef alıyor.
Lumu CEO’su Ricardo Villadiego, tehdit grubunun kötü amaçlı yazılımı dağıtmaya devam etmesinin, önemli sonuçlardan kaçmayı başardığını gösterdiğini söyledi. Grubun faaliyetlerine devam edebilme yeteneğinin öncelikle ekonomik fizibiliteye, teknik kapasiteye ve yeni altyapı kurma kolaylığına bağlı olduğunu belirtti. “Fidye yazılımı modeli kârlı olmaya devam ettiğinden ve yasal çabalar bireyleri ve bu suç operasyonlarının temelindeki yapıyı özel olarak hedef almadığından, bunun gibi herhangi bir kötü amaçlı yazılım ağını tamamen etkisiz hale getirmek zorlaşıyor.”
