제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

Qakbot 목격으로 법 집행 기관의 게시 중단은 단지 좌절일 뿐임을 확인

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 147

Qakbot 악성 코드는 미국 및 국제 법 집행 당국이 ""라는 이름의 널리 환영받는 작업을 통해 배포 인프라를 해체한 지 XNUMX개월도 채 되지 않아 다시 나타났습니다.오리 사냥. "

최근 여러 보안 공급업체에서는 숙박업 부문의 조직을 표적으로 삼는 피싱 이메일을 통해 악성 코드가 배포되는 것을 목격했다고 보고했습니다. 현재로서는 이메일의 양이 상대적으로 적은 것으로 보입니다. 그러나 과거 Qakbot 운영자가 보여준 끈기를 고려하면 머지않아 거래량이 다시 회복될 것으로 보입니다.

낮은 볼륨 - 현재까지

Microsoft의 위협 인텔리전스 그룹은 최근 공격에 사용된 페이로드의 타임스탬프를 기반으로 새로운 캠페인이 11월 XNUMX일에 시작된 것으로 추정했습니다. Targets는 IRS 직원이라고 주장하는 사용자로부터 PDF 첨부 파일이 포함된 이메일을 받았다고 회사는 밝혔습니다. X의 여러 게시물, 이전에는 Twitter로 알려진 플랫폼입니다. Microsoft는 “PDF에는 디지털 서명된 Windows Installer(.msi)를 다운로드하는 URL이 포함되어 있습니다.”라고 게시했습니다. "MSI를 실행하면 내장 DLL의 'hvsi' 내보내기 실행을 사용하여 Qakbot이 호출됩니다." 연구원들은 위협 행위자가 새로운 캠페인에서 배포하고 있는 Qakbot 버전을 이전에는 볼 수 없었던 버전으로 설명했습니다.

Zscaler는 악성 코드 표면도 관찰했습니다. X의 게시물에서 회사는 새 버전을 확인했습니다 64비트로, 네트워크 암호화에 AES를 사용하고 손상된 시스템의 특정 경로로 POST 요청을 보냅니다. Proofpoint는 비슷한 목격을 확인했습니다. 하루 후 현재 캠페인의 PDF가 적어도 28월 XNUMX일부터 배포되었다는 점을 언급했습니다.

오랫동안 널리 퍼진 위협

Qakbot은 특히 2007년부터 존재해 온 유해 악성 코드입니다. 작성자는 원래 이 악성 코드를 은행 트로이 목마로 사용했지만 최근에는 서비스형 악성 코드 모델로 전환했습니다. 위협 행위자는 일반적으로 피싱 이메일을 통해 악성 코드를 배포하며, 감염된 시스템은 일반적으로 더 큰 봇넷의 일부가 됩니다. 에서 게시 중단 시간 700,000월에 법 집행 기관은 전 세계적으로 Qakbot에 감염된 시스템을 200,000개나 확인했으며 그 중 약 XNUMX개가 미국에 있었습니다.

Qakbot 관련 공격자는 이를 다른 악성 코드, 특히 Cobalt Strike를 삭제하는 수단으로 점점 더 많이 사용하고 있습니다. 브루트 라텔, 그리고 수많은 랜섬웨어. 많은 경우 초기 액세스 브로커는 Qakbot을 사용하여 대상 네트워크에 대한 액세스 권한을 얻었고 나중에 해당 액세스 권한을 다른 위협 행위자에게 판매했습니다. "QakBot 감염은 특히 Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal 및 PwndLocker를 포함하여 인간이 운영하는 랜섬웨어가 배포되기 전에 발생하는 것으로 알려져 있습니다." 미국 사이버 보안 및 인프라 보안 국 올해 초 법 집행 기관의 게시 중단을 발표하는 성명에서 언급되었습니다.

테이크다운만 느려짐 Qakbot

최근 Qakbot 악성 코드의 목격은 일부 공급업체가 최근 몇 달 동안 보고한 내용을 확인시켜 주는 것으로 보입니다. 법 집행 기관의 게시 중단은 일반적으로 인식되는 것보다 Quakbot 행위자에게 미치는 영향이 적었습니다.

예를 들어, XNUMX월에 위협 사냥꾼은 Cisco Talos Qakbot 관련 공격자는 FBI가 Qakbot 인프라를 압수한 후 몇 주, 몇 달 동안 계속해서 Remcos 백도어와 Ransom Knight 랜섬웨어를 배포하고 있다고 보고했습니다. Talos 보안 연구원인 Guilherme Venere는 이를 XNUMX월의 법 집행 작전이 Qakbot의 명령 및 제어 서버만 제거하고 스팸 전달 메커니즘은 제거하지 않았을 수 있다는 신호로 보았습니다.

당시 Venere는 “인프라 중단 이후 Qakbot 자체를 배포하는 위협 행위자를 본 적이 없지만 이 악성 코드가 계속해서 심각한 위협을 가할 것으로 평가합니다.”라고 말했습니다. "우리는 개발자들이 체포되지 않고 여전히 운영 중이기 때문에 이것이 Qakbot 인프라를 재구축하기로 선택할 가능성이 있다고 보고 있습니다."

보안업체 Lumu는 지난 1,581월 Qakbot으로 인해 고객에 대한 공격 시도가 총 XNUMX건에 달했다고 밝혔습니다. 회사에 따르면 이후 몇 달 동안 활동은 거의 같은 수준으로 유지되었습니다. 대부분의 공격은 금융, 제조, 교육, 정부 부문의 조직을 표적으로 삼았습니다.

Lumu의 CEO인 Ricardo Villadiego는 위협 그룹이 악성 코드를 지속적으로 배포하는 것은 심각한 결과를 피할 수 있었음을 의미한다고 말했습니다. 그룹의 지속적인 운영 능력은 주로 경제적 타당성, 기술적 역량, 새로운 인프라 구축의 용이성에 달려 있다고 그는 지적합니다. "랜섬웨어 모델은 여전히 ​​수익성이 있고 법적 노력이 개인과 이러한 범죄 활동의 기본 구조를 구체적으로 표적으로 삼지 않았기 때문에 이와 같은 악성 코드 네트워크를 완전히 무력화하는 것이 어려워졌습니다."

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.