Ngày 01 tháng 6 năm 2023Ravie Lakshmanan Đe dọa mạng / An ninh mạng
Một phân tích về phần mềm độc hại “lẩn tránh và ngoan cường” được gọi là QBot đã tiết lộ rằng 25% máy chủ chỉ huy và kiểm soát (C2) của nó chỉ hoạt động trong một ngày.
Ngoài ra, 50% máy chủ không hoạt động trong hơn một tuần, cho thấy việc sử dụng cơ sở hạ tầng C2 linh hoạt và linh hoạt, Lumen Black Lotus Labs cho biết trong một báo cáo được chia sẻ với The Hacker News.
Các nhà nghiên cứu bảo mật Chris Formosa và Steve Rudd cho biết: “Mạng botnet này đã áp dụng các kỹ thuật để che giấu cơ sở hạ tầng của nó trong không gian IP dân cư và các máy chủ web bị lây nhiễm, trái ngược với việc ẩn náu trong một mạng lưới các máy chủ riêng ảo (VPS) được lưu trữ”.
QBot, còn được gọi là QakBot và Pinkslipbot, là một mối đe dọa dai dẳng và mạnh mẽ bắt đầu như một trojan ngân hàng trước khi phát triển thành một trình tải xuống cho các tải trọng khác, bao gồm cả phần mềm tống tiền. Nguồn gốc của nó bắt nguồn từ năm 2007.
Phần mềm độc hại đến thiết bị của nạn nhân thông qua email lừa đảo trực tiếp kết hợp các tệp thu hút hoặc chứa các URL được nhúng dẫn đến các tài liệu nhử.
Các tác nhân đe dọa đằng sau QBot đã liên tục cải thiện chiến thuật của chúng trong nhiều năm để xâm nhập vào hệ thống của nạn nhân bằng các phương pháp khác nhau như chiếm quyền điều khiển chuỗi email, buôn lậu HTML và sử dụng các loại tệp đính kèm không phổ biến để vượt qua các rào cản bảo mật.
Một khía cạnh đáng chú ý khác của hoạt động này là bản thân phương thức hoạt động: Các chiến dịch malspam của QBot diễn ra dưới dạng các đợt hoạt động dữ dội, sau đó là các giai đoạn ít hoặc không có cuộc tấn công nào, chỉ để xuất hiện trở lại với một chuỗi lây nhiễm được tân trang lại.
Trong khi làn sóng lừa đảo mang QBot vào đầu năm 2023 đã tận dụng Microsoft OneNote làm phương tiện xâm nhập, các cuộc tấn công gần đây đã sử dụng các tệp PDF được bảo vệ để cài đặt phần mềm độc hại trên máy nạn nhân.
Việc QakBot phụ thuộc vào các máy chủ và máy chủ web bị xâm nhập hiện có trong không gian IP dân cư cho C2 dẫn đến thời gian tồn tại ngắn, dẫn đến một kịch bản trong đó trung bình có 70 đến 90 máy chủ mới xuất hiện trong khoảng thời gian bảy ngày.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
Các nhà nghiên cứu cho biết: “Qakbot duy trì khả năng phục hồi bằng cách tái sử dụng các máy nạn nhân thành C2”, đồng thời bổ sung thêm rằng nó bổ sung “nguồn cung cấp C2 thông qua các bot sau đó chuyển sang C2”.
Theo dữ liệu do Team Cymru công bố vào tháng trước, phần lớn các máy chủ Qakbot bot C2 bị nghi ngờ là máy chủ bị xâm nhập được mua từ một nhà môi giới bên thứ ba, với hầu hết các máy chủ này được đặt tại Ấn Độ kể từ tháng 3 năm 2023.
Việc kiểm tra cơ sở hạ tầng tấn công của Black Lotus Labs đã tiết lộ thêm về sự hiện diện của một máy chủ kết nối ngược biến một “số lượng đáng kể” các bot bị nhiễm thành một proxy mà sau đó có thể được quảng cáo cho các mục đích độc hại khác.
Các nhà nghiên cứu kết luận: “Qakbot đã kiên trì bằng cách áp dụng cách tiếp cận phù hợp với thực địa để xây dựng và phát triển kiến trúc của mình”.
“Mặc dù nó có thể không dựa vào những con số tuyệt đối như Emotet, nhưng nó thể hiện trình độ kỹ thuật bằng cách thay đổi các phương thức truy cập ban đầu và duy trì kiến trúc C2 dân cư kiên cường nhưng khó tránh khỏi.”
