Търсене
Close this search box.

ФБР ликвидира зловредния софтуер QakBot

Координирани усилия на правоприлагащите органи под кодовото име „Операция Duck Hunt“ са унищожили QakBot – известното семейство зловреден софтуер за Windows, за което се смята, че е компрометирало над 700 000 компютъра в световен мащаб и е улеснило финансовите измами, както и изнудваческия софтуер.

За тази цел Министерството на правосъдието на САЩ (МП) заяви, че зловредният софтуер е „изтрит от компютрите на жертвите, което му пречи да нанася повече вреди“, като добави, че е конфискувалo над 8,6 млн. долара в криптовалута под формата на незаконни печалби.

В трансграничното мероприятие участваха Франция, Германия, Латвия, Румъния, Нидерландия, Обединеното кралство и САЩ, заедно с техническа помощ от компанията за киберсигурност Zscaler.

Разбиването беше обявено за „най-мащабното ръководено от САЩ финансово и техническо разрушаване на ботнет инфраструктура, използвана от киберпрестъпници“. Не бяха обявени арести.

QakBot, известен също като QBot и Pinkslipbot, започва живота си като банков троянец през 2007 г., след което се превръща в швейцарско  ножче с общо предназначение, което действа като разпределителен център за зловреден код на заразени машини, включително ransomware, без знанието на жертвите.

Някои от основните семейства рансъмуер, разпространявани чрез QakBot, включват Conti, ProLock, Egregor, REvil, MegaCortex и Black Basta. Твърди се, че администраторите на QakBot са получили хонорари, съответстващи на приблизително 58 млн. долара откупи, платени от жертвите между октомври 2021 г. и април 2023 г.

„QakBot беше ключов фактор в екосистемата на киберпрестъпността, улесняващ атаките с цел получаване на откуп и други сериозни заплахи“, заяви в изявление Уил Лайн, ръководител на отдела за киберразузнаване в Националната агенция за борба с престъпността на Обединеното кралство (NCA).

Контранастъплението срещу QakBot следва подобно сваляне на Emotet през октомври 2020 г., който оттогава се появи отново след сериозни смущения в бекенд инфраструктурата му.

Обикновено разпространяван чрез фишинг имейли, модулният зловреден софтуер е снабден и с възможности за изпълнение на команди и събиране на информация. По време на съществуването си той е претърпявал постоянни актуализации, като е известно, че участниците (с кодови имена Gold Lagoon или Mallard Spider) всяко лято си вземат продължителни почивки, преди да възобновят кампаниите си за разпространение на спам.

„Компютрите на жертвите, заразени със зловредния софтуер QakBot, са част от ботнет (мрежа от компрометирани компютри), което означава, че извършителите могат да контролират дистанционно всички заразени компютри по координиран начин“, заявиха от Министерството на правосъдието.

Според съдебните документи съвместните усилия са позволили да се получи достъп до инфраструктурата на QakBot, като по този начин е станало възможно пренасочването на трафика на ботнета към и през сървъри, контролирани от Федералното бюро за разследване на САЩ (ФБР), с крайната цел да се неутрализира „широкообхватната престъпна верига за доставки“.

По-конкретно, сървърите инструктираха компрометираните крайни точки да изтеглят деинсталационен файл, който има за цел да отвърже машините от ботнета QakBot, като ефективно предотврати доставката на допълнителни полезни товари.

Secureworks Counter Threat Unit (CTU) заяви, че на 25 август 2023 г. е открил ботнет, разпространяващ шелкод към заразени устройства, който „разопакова потребителски DLL (динамична библиотека) изпълним файл, съдържащ код, който може чисто да прекрати работещия процес QakBot на хоста“ чрез команда QPCMD_BOT_SHUTDOWN.

„Жертвите [в САЩ] варират от финансови институции на Източното крайбрежие до правителствен изпълнител на критична инфраструктура в Средния Запад и производител на медицински изделия на Западното крайбрежие“, заяви директорът на ФБР Кристофър Рей.

С течение на времето QakBot демонстрира по-високо ниво на сложност, като бързо променя тактиката си в отговор на нови защитни механизми. Например, след като Microsoft забрани макросите по подразбиране във всички приложения на Office, в началото на тази година той започна да злоупотребява с файловете OneNote като вектор на инфекция.

Усъвършенстването и адаптивността се проявяват и в способността на операторите да използват като оръжие широк спектър от файлови формати (например PDF, HTML и ZIP) в своите вериги за атаки. По-голямата част от сървърите за командване и контрол (C2) на QakBot са съсредоточени в САЩ, Великобритания, Индия, Канада и Франция (FR). Бекенд инфраструктурата му е разположена в Русия.

QakBot, подобно на Emotet и IcedID, използва тристепенна система от сървъри за контрол и комуникация със зловредния софтуер, инсталиран на заразените компютри. Основната цел на сървърите от ниво 1 и 2 е да препращат комуникации, съдържащи криптирани данни, между заразените от QakBot компютри и сървъра от ниво 3, който контролира ботнета.

Към средата на юни 2023 г. са идентифицирани 853 сървъра от ниво 1 (наричани още супернодове) в 63 държави, като сървърите от ниво 2 функционират като прокси сървъри, за да прикриват основния сървър C2. Данните, събрани от Abuse.ch, показват, че всички сървъри на QakBot в момента са офлайн.

„QakBot е изключително усъвършенстван банков троянски зловреден софтуер, стратегически насочен към бизнеса в различни държави“, отбелязват изследователите от Zscaler в изчерпателен анализ, публикуван в края на юли 2023 г.

„Тази неуловима заплаха използва множество файлови формати и методи за замаскиране в рамките на веригата си за атака, което ѝ позволява да избегне откриването от конвенционалните антивирусни машини. Чрез експериментирането с различни вериги за атака става ясно, че участникът в заплахата, който стои зад QakBot, непрекъснато усъвършенства своите стратегии.“

QakBot също така е една от най-активните фамилии зловреден софтуер през второто тримесечие на 2023 г., според HP Wolf Security, използвайки цели 18 уникални вериги за атака и отбелязвайки 56 кампании за този период от време, което подчертава склонността на електронната престъпна група „бързо да променя своите похвати, за да се възползва от пропуските в мрежовите защити“.

 

Източник: The Hacker News

Подобни публикации

21 април 2024

Как OpenAI и Microsoft събудиха заспал софтуере...

Само преди десетилетие най-големият технологичен звяр в света беше ...
20 април 2024

Готви се нова методика за удостоверяване на съо...

Актуализирането на методиката за удостоверяване на съответствието н...
20 април 2024

Критична уязвимост на Forminator за WordPress и...

Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е ...
20 април 2024

Бандата "Медуза" нанася нов удар

Въпреки че общинската агенция уверява обществеността, че малцина са...
19 април 2024

Пробиха MITRE чрез нулевите дни на Ivanti

Корпорацията MITRE твърди, че подкрепяна от държавата хакерска груп...
19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
Бъдете социални
Още по темата
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
13/04/2024

На федералните агенции на С...

В четвъртък Агенцията за киберсигурност и...
08/04/2024

NIS2: От риск към възможност

На 02.04.2024 г. в столичния ИНТЕР...
Последно добавени
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
20/04/2024

Готви се нова методика за у...

Актуализирането на методиката за удостоверяване на...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!