Phần mềm độc hại Qakbot đã quay trở lại chưa đầy bốn tháng sau khi các cơ quan thực thi pháp luật của Hoa Kỳ và quốc tế phá bỏ cơ sở hạ tầng phân phối của nó trong một hoạt động được ca ngợi rộng rãi có tên là “Duck Hunt".
Trong những ngày gần đây, một số nhà cung cấp bảo mật đã báo cáo rằng phần mềm độc hại được phát tán qua email lừa đảo nhắm mục tiêu vào các tổ chức trong lĩnh vực khách sạn. Hiện tại, khối lượng email có vẻ tương đối thấp. Nhưng với sự kiên trì mà các nhà khai thác Qakbot đã thể hiện trong quá khứ, có thể sẽ không lâu nữa khối lượng sẽ tăng trở lại.
Khối lượng thấp - Cho đến nay
Nhóm tình báo mối đe dọa của Microsoft đã ước tính chiến dịch mới bắt đầu vào ngày 11 tháng XNUMX, dựa trên dấu thời gian trong tải trọng được sử dụng trong các cuộc tấn công gần đây. Công ty cho biết các mục tiêu đã nhận được email có tệp đính kèm PDF từ một người dùng có ý định trở thành nhân viên của IRS. nhiều bài đăng trên X, nền tảng trước đây được gọi là Twitter. “Tệp PDF chứa URL tải xuống Trình cài đặt Windows được ký điện tử (.msi),” Microsoft đăng. “Việc thực thi MSI đã dẫn đến việc Qakbot được gọi bằng cách thực thi xuất ‘hvsi’ của một DLL nhúng.” Các nhà nghiên cứu mô tả phiên bản Qakbot mà tác nhân đe dọa đang phân phối trong chiến dịch mới là phiên bản chưa từng thấy trước đây.
Zscaler cũng quan sát thấy phần mềm độc hại xuất hiện. Trong một bài đăng trên X, công ty xác định phiên bản mới dưới dạng 64-bit, sử dụng AES để mã hóa mạng và gửi yêu cầu POST đến một đường dẫn cụ thể trên các hệ thống bị xâm nhập. Proofpoint xác nhận những lần nhìn thấy tương tự một ngày sau, đồng thời lưu ý rằng các tệp PDF trong chiến dịch hiện tại đã được phân phối ít nhất từ ngày 28 tháng XNUMX.
Mối đe dọa phổ biến lâu dài
Qakbot là phần mềm độc hại đặc biệt độc hại đã xuất hiện ít nhất từ năm 2007. Các tác giả của nó ban đầu sử dụng phần mềm độc hại này như một Trojan ngân hàng nhưng trong những năm gần đây đã chuyển sang mô hình phần mềm độc hại dưới dạng dịch vụ. Các tác nhân đe dọa thường phát tán phần mềm độc hại thông qua email lừa đảo và các hệ thống bị nhiễm thường trở thành một phần của mạng botnet lớn hơn. Tại thời điểm gỡ bỏ vào tháng 700,000, cơ quan thực thi pháp luật đã xác định có tới 200,000 hệ thống bị nhiễm Qakbot trên toàn thế giới, khoảng XNUMX trong số đó được đặt tại Hoa Kỳ.
Những kẻ liên kết với Qakbot ngày càng sử dụng nó như một phương tiện để phát tán phần mềm độc hại khác, đáng chú ý nhất là Cobalt Strike, Tỷ lệ vũ phu, và hàng loạt phần mềm tống tiền. Trong nhiều trường hợp, những kẻ môi giới truy cập ban đầu đã sử dụng Qakbot để có quyền truy cập vào mạng mục tiêu và sau đó bán quyền truy cập đó cho các tác nhân đe dọa khác. “Lây nhiễm QakBot đặc biệt được biết đến trước khi triển khai phần mềm ransomware do con người vận hành, bao gồm Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal và PwndLocker,” Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ đã lưu ý trong một tuyên bố thông báo về việc gỡ bỏ cơ quan thực thi pháp luật vào đầu năm nay.
Chỉ gỡ xuống làm chậm Qakbot
Việc phát hiện phần mềm độc hại Qakbot gần đây dường như đã xác nhận những gì một số nhà cung cấp đã báo cáo trong những tháng gần đây: Việc gỡ bỏ của cơ quan thực thi pháp luật ít ảnh hưởng đến các tác nhân Quakbot hơn so với nhận thức chung.
Ví dụ: vào tháng XNUMX, những người săn mối đe dọa tại Cisco Talos báo cáo rằng các tác nhân liên kết với Qakbot đang tiếp tục phân phối backdoor Remcos và ransomware Ransom Knight trong những tuần và tháng sau khi FBI thu giữ cơ sở hạ tầng Qakbot. Nhà nghiên cứu bảo mật Talos, Guilherme Venere, coi đó là dấu hiệu cho thấy hoạt động thực thi pháp luật của tháng XNUMX có thể chỉ hạ gục các máy chủ chỉ huy và kiểm soát của Qakbot chứ không phải cơ chế gửi thư rác của nó.
Venere cho biết vào thời điểm đó: “Mặc dù chúng tôi chưa thấy các tác nhân đe dọa phân phối Qakbot sau khi phá hủy cơ sở hạ tầng, nhưng chúng tôi đánh giá phần mềm độc hại sẽ tiếp tục gây ra mối đe dọa đáng kể trong tương lai”. “Chúng tôi thấy điều này có khả năng xảy ra vì các nhà phát triển không bị bắt và vẫn đang hoạt động, mở ra khả năng họ có thể chọn xây dựng lại cơ sở hạ tầng Qakbot.”
Công ty bảo mật Lumu cho biết họ đếm được tổng cộng 1,581 vụ tấn công nhằm vào khách hàng của mình trong tháng XNUMX có liên quan đến Qakbot. Theo công ty, trong những tháng tiếp theo, hoạt động này ít nhiều vẫn ở mức tương tự. Hầu hết các cuộc tấn công đều nhắm vào các tổ chức trong lĩnh vực tài chính, sản xuất, giáo dục và chính phủ.
Giám đốc điều hành Lumu Ricardo Villadiego cho biết, việc nhóm đe dọa tiếp tục phân phối phần mềm độc hại cho thấy rằng nhóm này đã tránh được những hậu quả đáng kể. Ông lưu ý rằng khả năng tiếp tục hoạt động của tập đoàn chủ yếu phụ thuộc vào tính khả thi về kinh tế, khả năng kỹ thuật và khả năng dễ dàng thiết lập cơ sở hạ tầng mới. “Vì mô hình ransomware vẫn mang lại lợi nhuận và các nỗ lực pháp lý chưa nhắm mục tiêu cụ thể đến các cá nhân cũng như cấu trúc cơ bản của các hoạt động tội phạm này nên việc vô hiệu hóa hoàn toàn bất kỳ mạng phần mềm độc hại nào như thế này trở nên khó khăn”.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback
