عادت البرامج الضارة Qakbot بعد أقل من أربعة أشهر من قيام سلطات إنفاذ القانون الأمريكية والدولية بتفكيك البنية التحتية للتوزيع في عملية لاقت استحسانًا واسع النطاق أطلق عليها اسم "بطة هانت".
في الأيام الأخيرة، أبلغ العديد من موردي الخدمات الأمنية عن رؤية البرامج الضارة يتم توزيعها عبر رسائل البريد الإلكتروني التصيدية التي تستهدف المؤسسات في قطاع الضيافة. في الوقت الحالي، يبدو أن حجم البريد الإلكتروني منخفض نسبيًا. ولكن بالنظر إلى المثابرة التي أظهرها مشغلو Qakbot في الماضي، فمن المحتمل ألا يمر وقت طويل قبل أن يرتفع الحجم مرة أخرى.
أحجام منخفضة – حتى الآن
قدرت مجموعة استخبارات التهديدات التابعة لشركة Microsoft أن الحملة الجديدة بدأت في 11 ديسمبر، بناءً على الطابع الزمني في الحمولة المستخدمة في الهجمات الأخيرة. قالت الشركة في إن الأهداف تلقت رسائل بريد إلكتروني تحتوي على مرفق PDF من مستخدم يزعم أنه موظف في مصلحة الضرائب الأمريكية مشاركات متعددة على X، المنصة المعروفة سابقًا باسم تويتر. نشرت Microsoft: "يحتوي ملف PDF على عنوان URL يقوم بتنزيل Windows Installer (.msi) الموقع رقميًا". "أدى تنفيذ MSI إلى استدعاء Qakbot باستخدام تنفيذ التصدير "hvsi" لملف DLL المضمن." ووصف الباحثون نسخة Qakbot التي يوزعها ممثل التهديد في الحملة الجديدة بأنها نسخة لم تُعرض من قبل.
لاحظ Zscaler ظهور البرامج الضارة أيضًا. في منشور على X الشركة حددت الإصدار الجديد مثل 64 بت، باستخدام AES لتشفير الشبكة وإرسال طلبات POST إلى مسار محدد على الأنظمة المخترقة. وأكد Proofpoint مشاهد مماثلة بعد يوم واحد مع الإشارة أيضًا إلى أن ملفات PDF في الحملة الحالية قد تم توزيعها منذ 28 نوفمبر على الأقل.
التهديد السائد منذ فترة طويلة
Qakbot هو برنامج ضار بشكل خاص، وهو موجود منذ عام 2007 على الأقل. وقد استخدم مؤلفوه في الأصل البرنامج الضار باعتباره حصان طروادة المصرفي، ولكن في السنوات الأخيرة تحولوا إلى نموذج البرامج الضارة كخدمة. عادةً ما تقوم الجهات الفاعلة في مجال التهديد بتوزيع البرامج الضارة عبر رسائل البريد الإلكتروني التصيدية، وعادةً ما تصبح الأنظمة المصابة جزءًا من شبكة الروبوتات الأكبر. في ال وقت الإزالة وفي أغسطس/آب، حددت سلطات إنفاذ القانون ما يصل إلى 700,000 ألف نظام مصاب بـ Qakbot في جميع أنحاء العالم، حوالي 200,000 ألف منها موجودة في الولايات المتحدة.
وقد استخدمتها الجهات الفاعلة التابعة لـ Qakbot بشكل متزايد كوسيلة لإسقاط برامج ضارة أخرى، أبرزها Cobalt Strike، بروت راتل, وعدد كبير من برامج الفدية. في العديد من الحالات، استخدم وسطاء الوصول الأولي Qakbot للوصول إلى شبكة مستهدفة ثم باعوا هذا الوصول لاحقًا إلى جهات تهديد أخرى. "من المعروف بشكل خاص أن إصابات QakBot تسبق نشر برامج الفدية التي يديرها الإنسان، بما في ذلك Conti وProLock وEgregor وREvil وMegaCortex وBlack Basta وRoyal وPwndLocker". وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية وأشار في بيان أعلن عن إزالة تطبيق القانون في وقت سابق من هذا العام.
انهاء الخدمة فقط تباطأ Qakbot
يبدو أن المشاهدات الأخيرة لبرامج Qakbot الضارة تؤكد ما أبلغ عنه بعض البائعين في الأشهر الأخيرة: كان تأثير إزالة تطبيق القانون على الجهات الفاعلة في Quakbot أقل مما يُتصور بشكل عام.
في أكتوبر، على سبيل المثال، قام صائدو التهديدات في سيسكو تالوس ذكرت أن الجهات الفاعلة التابعة لـ Qakbot استمرت في توزيع برنامج Remcos الخلفي وبرنامج الفدية Ransom Knight في الأسابيع والأشهر التي تلت استيلاء مكتب التحقيقات الفيدرالي على البنية التحتية لـ Qakbot. ورأى جيلهيرم فينير، الباحث الأمني في Talos، أن ذلك علامة على أن عملية إنفاذ القانون في أغسطس ربما تكون قد تمكنت فقط من القضاء على خوادم القيادة والتحكم الخاصة بـ Qakbot وليس آليات تسليم البريد العشوائي الخاصة بها.
وقال فينير في ذلك الوقت: "على الرغم من أننا لم نر جهات التهديد التي توزع Qakbot نفسها بعد إزالة البنية التحتية، إلا أننا نقدر أن البرامج الضارة ستستمر في تشكيل تهديد كبير في المستقبل". "نرى أن هذا محتمل لأنه لم يتم القبض على المطورين وما زالوا يعملون، مما يفتح احتمال أنهم قد يختارون إعادة بناء البنية التحتية لـ Qakbot."
وقالت شركة Lumu الأمنية إنها أحصت ما مجموعه 1,581 محاولة هجوم على عملائها في سبتمبر الماضي، والتي تعزى إلى قاكبوت. وفي الأشهر اللاحقة، ظل النشاط عند نفس المستوى تقريبًا، وفقًا للشركة. استهدفت معظم الهجمات مؤسسات في قطاعات التمويل والتصنيع والتعليم والحكومة.
يقول ريكاردو فيلاديجو، الرئيس التنفيذي لشركة Lumu، إن التوزيع المستمر للبرامج الضارة من قبل مجموعة التهديد يشير إلى أنها تمكنت من تجنب عواقب وخيمة. وأشار إلى أن قدرة المجموعة على مواصلة العمل تعتمد في المقام الأول على الجدوى الاقتصادية والقدرات الفنية وسهولة إنشاء بنية تحتية جديدة. "بما أن نموذج برامج الفدية لا يزال مربحًا وأن الجهود القانونية لم تستهدف الأفراد والبنية الأساسية لهذه العمليات الإجرامية على وجه التحديد، فقد أصبح من الصعب تحييد أي شبكة برامج ضارة مثل هذه بشكل كامل."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback
