Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Les observations de Qakbot confirment que le retrait des forces de l'ordre n'était qu'un revers

Republié par Platon
Republié par Platon

Date :

Vues: 147

Le malware Qakbot est de retour moins de quatre mois après que les autorités américaines et internationales chargées de l'application des lois ont démantelé son infrastructure de distribution dans le cadre d'une opération largement saluée baptisée « Duck Hunt. »

Ces derniers jours, plusieurs fournisseurs de sécurité ont signalé avoir vu des logiciels malveillants se propager via des e-mails de phishing ciblant les organisations du secteur hôtelier. Pour le moment, les volumes d’e-mails semblent relativement faibles. Mais étant donné la ténacité dont ont fait preuve les opérateurs de Qakbot dans le passé, il ne faudra probablement pas longtemps avant que le volume reprenne.

Faibles volumes - jusqu'à présent

Le groupe de renseignement sur les menaces de Microsoft a estimé que la nouvelle campagne avait débuté le 11 décembre, sur la base d'un horodatage de la charge utile utilisée lors des récentes attaques. Les cibles ont reçu des e-mails avec une pièce jointe PDF d'un utilisateur prétendant être un employé de l'IRS, a indiqué la société dans plusieurs messages sur X, la plateforme anciennement connue sous le nom de Twitter. "Le PDF contenait une URL permettant de télécharger un programme d'installation Windows signé numériquement (.msi)", a publié Microsoft. "L'exécution du MSI a conduit à l'invocation de Qakbot à l'aide de l'exécution d'exportation 'hvsi' d'une DLL intégrée." Les chercheurs ont décrit la version de Qakbot que l’acteur malveillant distribue dans la nouvelle campagne comme une version inédite.

Zscaler a également observé l’apparition du malware. Dans un article sur X, l'entreprise identifié la nouvelle version en 64 bits, utilisant AES pour le cryptage du réseau et envoyant des requêtes POST vers un chemin spécifique sur des systèmes compromis. Proofpoint a confirmé des observations similaires un jour plus tard, tout en notant également que les PDF de la campagne en cours ont été distribués depuis au moins le 28 novembre.

Menace de longue date

Qakbot est un malware particulièrement nocif qui existe depuis au moins 2007. Ses auteurs utilisaient à l'origine le malware comme cheval de Troie bancaire, mais ces dernières années, ils se sont tournés vers un modèle de malware en tant que service. Les auteurs de la menace diffusent généralement les logiciels malveillants via des e-mails de phishing, et les systèmes infectés font généralement partie d'un botnet plus vaste. Au heure du retrait En août, les forces de l’ordre ont identifié jusqu’à 700,000 200,000 systèmes infectés par Qakbot dans le monde, dont quelque XNUMX XNUMX aux États-Unis.

Les acteurs affiliés à Qakbot l'utilisent de plus en plus comme moyen de lancer d'autres logiciels malveillants, notamment Cobalt Strike, Brute Ratel, et une multitude de ransomwares. Dans de nombreux cas, les courtiers d’accès initiaux ont utilisé Qakbot pour accéder à un réseau cible et ont ensuite vendu cet accès à d’autres acteurs malveillants. « Les infections QakBot sont particulièrement connues pour précéder le déploiement de ransomwares opérés par des humains, notamment Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal et PwndLocker », indique le rapport. Agence américaine de cybersécurité et de sécurité des infrastructures » a noté dans un communiqué annonçant le retrait des forces de l’ordre plus tôt cette année.

Le retrait n'a ralenti que Qakbot

Les récentes observations du malware Qakbot semblent confirmer ce que certains fournisseurs ont rapporté ces derniers mois : le retrait des forces de l’ordre a eu moins d’impact sur les acteurs de Quakbot qu’on ne le pense généralement.

En octobre, par exemple, les chasseurs de menaces de Cisco Talos a rapporté que des acteurs affiliés à Qakbot continuaient de distribuer la porte dérobée Remcos et le ransomware Ransom Knight dans les semaines et les mois qui ont suivi la saisie de l'infrastructure de Qakbot par le FBI. Guilherme Venere, chercheur en sécurité chez Talos, y a vu un signe que l’opération d’application de la loi d’août aurait pu supprimer uniquement les serveurs de commande et de contrôle de Qakbot et non ses mécanismes de diffusion de spam.

"Bien que nous n'ayons pas vu les acteurs de la menace distribuer Qakbot lui-même après le retrait de l'infrastructure, nous estimons que le malware continuera de constituer une menace importante à l'avenir", avait déclaré Venere à l'époque. "Nous pensons que cela est aussi probable que les développeurs n'ont pas été arrêtés et sont toujours opérationnels, ce qui ouvre la possibilité qu'ils choisissent de reconstruire l'infrastructure de Qakbot."

La société de sécurité Lumu a déclaré avoir dénombré en septembre un total de 1,581 XNUMX tentatives d'attaque contre ses clients imputables à Qakbot. Au cours des mois suivants, l'activité est restée plus ou moins au même niveau, selon l'entreprise. La plupart des attaques ont ciblé des organisations des secteurs de la finance, de l’industrie manufacturière, de l’éducation et du gouvernement.

La diffusion continue du malware par le groupe de menaces indique qu’il a réussi à échapper à des conséquences importantes, a déclaré Ricardo Villadiego, PDG de Lumu. La capacité du groupe à poursuivre ses activités dépend principalement de la faisabilité économique, des capacités techniques et de la facilité d’établissement de nouvelles infrastructures, note-t-il. « Étant donné que le modèle des rançongiciels reste rentable et que les efforts juridiques n’ont pas spécifiquement ciblé les individus ni la structure sous-jacente de ces opérations criminelles, il devient difficile de neutraliser complètement un réseau de logiciels malveillants comme celui-ci. »

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.