Qakbot-Botnet wandelt auf Emotets Spuren

Beitrag teilen

Qakbot führt detaillierte Profil-Scans der infizierten Computer durch, lädt zusätzliche Module herunter und bietet eine ausgeklügelte Verschlüsselung. Ausgangspunkt für die Angriffe: Die Cyberkriminellen klinken sich geschickt in reale E-Mail-Kommunikationsstränge ein. Qakbot-Botnet wandelt so auf Emotets Spuren.

Sophos hat eine technische Analyse von Qakbot veröffentlicht, aus der hervorgeht, dass das Botnet immer fortschrittlicher und gefährlicher für Unternehmen wird. In dem Artikel „Qakbot Injects Itself into the Middle of Your Conversations“ beschreiben die SophosLabs eine aktuelle Qakbot-Kampagne, die zeigt, wie sich das Botnet durch E-Mail-Thread-Hijacking verbreitet und eine Vielzahl von Profilinformationen von neu infizierten Computern sammelt. Dazu gehören unter anderem alle konfigurierten Benutzer:innen-Konten und -Berechtigungen, installierte Software und laufende Dienste. Das Botnet lädt darüber hinaus eine Reihe von zusätzlichen, bösartigen Modulen herunter, welche die Funktionalität des Kern-Botnets erweitern.

Der Malware-Code von Qakbot zeichnet sich durch eine unkonventionelle Verschlüsselung aus. Diese dient auch dazu, den Inhalt der Kommunikation zu verschleiern. Sophos hat die schädlichen Module sowie das Befehls- und Kontrollsystem des Botnets entschlüsselt und so herausgefunden, wie Qakbot seine Anweisungen erhält.

Die Qakbot-Infektionskette

Bei der von Sophos analysierten Kampagne fügte das Botnet schädliche Nachrichten in bestehenden E-Mail-Verkehr ein. Die E-Mails enthalten einen kurzen Satz und einen Link zum Download einer Zip-Datei, die eine schädliche Excel-Datei enthält. Die Benutzer:innen wurden aufgefordert, Inhalte zu aktivieren, um die Infektionskette zu aktivieren. Sobald das Botnet ein neues Ziel infiziert hatte, führte es einen detaillierten Profil-Scan durch, teilte die Daten mit seinem Command-and-Control-Server und lud dann mindestens drei verschiedene bösartige Module in Form von Dynamic Link Libraries (DLL) herunter, die dem Botnet eine breitere Palette an Möglichkeiten bieten.

Die eingeschleusten Module bestanden aus:

  • Einem Modul, das Code zum Stehlen von Passwörtern in Webseiten einfügt
  • Einem Modul, das Netzwerk-Scans durchführt und Daten über andere Rechner in der Nähe des infizierten Computers sammelt
  • Einem Modul, das die Adressen von einem Dutzend SMTP-E-Mail-Servern (Simple Mail Transfer Protocol) ermittelt und dann versucht, eine Verbindung zu jedem einzelnen Server herzustellen und Spam zu versenden

Bekannte Vorläufer für einen Ransomware-Angriff

„Qakbot ist ein modulares Botnet, das für mehrere Zwecke einsetzbar ist und per E-Mail verbreitet wird. Cyber-Kriminelle nutzen es als Zustellungs-Tool für Malware immer häufiger, ähnlich wie Trickbot und Emotet“, sagt Andrew Brandt, Principal Threat Researcher bei Sophos. „Unsere Analyse zeigt die Erfassung detaillierter Opferprofildaten, die Fähigkeit des Botnets, komplexe Befehlssequenzen zu verarbeiten sowie eine Reihe von Modulen, die die Funktionalität der zentralen Botnet-Engine erweitern.“

Botnet-Infektionen sind ein bekannter Vorläufer für einen Ransomware-Angriff. Dies liegt nicht nur daran, dass Botnets potenziell Ransomware liefern. Botnet-Entwickler:innen können auch ihren Zugang zu den infizierten Netzwerken verkaufen oder vermieten. So sind die Sophos-Teams beispielsweise auf Qakbot-Samples gestoßen, die Cobalt Strike Beacons, also den ersten Fuß in der Tür zum Unternehmensnetzwerk, direkt an einen infizierten Host liefern. Sobald Qakbot-Betreiber den infizierten Computer benutzt haben, können sie den Zugang zu diesen Beacons an ihre Kundschaft weitergeben, vermieten oder verkaufen.

Was tun gegen Qakbot?

Sophos empfiehlt, ungewöhnlichen oder unerwarteten E-Mails mit Vorsicht zu begegnen, selbst wenn es sich bei den Nachrichten um Antworten auf bestehendem E-Mail-Verkehr zu handeln scheint. In der von Sophos untersuchten Qakbot-Kampagne war die Verwendung lateinischer Ausdrücke in URLs ein potenzielles Warnsignal.

Zudem sollten Sicherheitsteams überprüfen, ob die von ihren Sicherheitstechnologien bereitgestellten Verhaltensschutzmechanismen eine Qakbot-Infektion verhindern. Netzwerkgeräte warnen Administratoren auch, wenn ein infizierter Benutzer versucht, sich mit einer bekannten Command-and-Control-Adresse oder -Domäne zu verbinden. Weitere Informationen finden sich im Artikel „Qakbot Injects Itself into the Middle of Your Conversations“ bei SophosLabs.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Cybersicherheit: Trends in 2025

2025 wird die Cybersicherheit von Unternehmen durch komplexere Bedrohungen gefährdet sein. Zwei Experten eines führenden Cybersicherheits-Unternehmens stellen ihre Prognosen vor ➡ Weiterlesen

Große Sprachmodelle (LLMs) und die Data Security

Angesichts der rasanten KI-Entwicklung mit LLMs wird immer deutlicher, dass die grundlegenden Leitplanken, Plausibilitätsprüfungen und Prompt-basierten Sicherheitsmaßnahmen, die derzeit gelten, ➡ Weiterlesen

Cybersicherheit gewinnt an Priorität in der Führungsetage

Die Umfrage eines Softwareunternehmens unter IT- und Cybersecurity-Fachkräften zeigte, dass Unternehmen bereit sind, mehr Geld für Cybersicherheit auszugeben. Neue Security-Tools ➡ Weiterlesen

NIS2-Richtlinie: So bewältigen Unternehmen die Herausforderung

Die NIS2-Richtlinie verschärft die Anforderungen an die Cybersicherheit von Unternehmen. Dies führt für Unternehmen mit kritischen Infrastrukturen zu hohen Investitionen ➡ Weiterlesen

Die zehn größten Datenpannen im Jahr 2024

Datenpannen sorgen nicht nur für häufige, aufmerksamkeitsstarke Schlagzeilen – sie sind eine deutliche Erinnerung an die Schwachstellen, die in vielen ➡ Weiterlesen

Quantenresistenz wird 2025 immer wichtiger

Laut den Vorhersagen eines führenden Anbieters für Cybersicherheitslösungen werden Unternehmen in 2025 ihre Cybersicherheitsstrategien anpassen: Sie werden erste Schritte in ➡ Weiterlesen

IT-Security 2025: Datenzerstörung und Social Engineering mit KI

In 2025 steigt das Risiko eines Datenverlusts für Unternehmen stark an, denn es gibt aktuell viele Angreifer, die Daten löschen ➡ Weiterlesen

Ransomware-Angriff auf Fraunhofer-Institut

Ein Ransomware-Angriffe hat bereits am 27. Dezember 2024 das Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO in Stuttgart getroffen. Das Institut ➡ Weiterlesen