Qakbot-Botnet wandelt auf Emotets Spuren

Beitrag teilen

Qakbot führt detaillierte Profil-Scans der infizierten Computer durch, lädt zusätzliche Module herunter und bietet eine ausgeklügelte Verschlüsselung. Ausgangspunkt für die Angriffe: Die Cyberkriminellen klinken sich geschickt in reale E-Mail-Kommunikationsstränge ein. Qakbot-Botnet wandelt so auf Emotets Spuren.

Sophos hat eine technische Analyse von Qakbot veröffentlicht, aus der hervorgeht, dass das Botnet immer fortschrittlicher und gefährlicher für Unternehmen wird. In dem Artikel “Qakbot Injects Itself into the Middle of Your Conversations” beschreiben die SophosLabs eine aktuelle Qakbot-Kampagne, die zeigt, wie sich das Botnet durch E-Mail-Thread-Hijacking verbreitet und eine Vielzahl von Profilinformationen von neu infizierten Computern sammelt. Dazu gehören unter anderem alle konfigurierten Benutzer:innen-Konten und -Berechtigungen, installierte Software und laufende Dienste. Das Botnet lädt darüber hinaus eine Reihe von zusätzlichen, bösartigen Modulen herunter, welche die Funktionalität des Kern-Botnets erweitern.

Der Malware-Code von Qakbot zeichnet sich durch eine unkonventionelle Verschlüsselung aus. Diese dient auch dazu, den Inhalt der Kommunikation zu verschleiern. Sophos hat die schädlichen Module sowie das Befehls- und Kontrollsystem des Botnets entschlüsselt und so herausgefunden, wie Qakbot seine Anweisungen erhält.

Die Qakbot-Infektionskette

Bei der von Sophos analysierten Kampagne fügte das Botnet schädliche Nachrichten in bestehenden E-Mail-Verkehr ein. Die E-Mails enthalten einen kurzen Satz und einen Link zum Download einer Zip-Datei, die eine schädliche Excel-Datei enthält. Die Benutzer:innen wurden aufgefordert, Inhalte zu aktivieren, um die Infektionskette zu aktivieren. Sobald das Botnet ein neues Ziel infiziert hatte, führte es einen detaillierten Profil-Scan durch, teilte die Daten mit seinem Command-and-Control-Server und lud dann mindestens drei verschiedene bösartige Module in Form von Dynamic Link Libraries (DLL) herunter, die dem Botnet eine breitere Palette an Möglichkeiten bieten.

Die eingeschleusten Module bestanden aus:

  • Einem Modul, das Code zum Stehlen von Passwörtern in Webseiten einfügt
  • Einem Modul, das Netzwerk-Scans durchführt und Daten über andere Rechner in der Nähe des infizierten Computers sammelt
  • Einem Modul, das die Adressen von einem Dutzend SMTP-E-Mail-Servern (Simple Mail Transfer Protocol) ermittelt und dann versucht, eine Verbindung zu jedem einzelnen Server herzustellen und Spam zu versenden

Bekannte Vorläufer für einen Ransomware-Angriff

„Qakbot ist ein modulares Botnet, das für mehrere Zwecke einsetzbar ist und per E-Mail verbreitet wird. Cyber-Kriminelle nutzen es als Zustellungs-Tool für Malware immer häufiger, ähnlich wie Trickbot und Emotet“, sagt Andrew Brandt, Principal Threat Researcher bei Sophos. „Unsere Analyse zeigt die Erfassung detaillierter Opferprofildaten, die Fähigkeit des Botnets, komplexe Befehlssequenzen zu verarbeiten sowie eine Reihe von Modulen, die die Funktionalität der zentralen Botnet-Engine erweitern.“

Botnet-Infektionen sind ein bekannter Vorläufer für einen Ransomware-Angriff. Dies liegt nicht nur daran, dass Botnets potenziell Ransomware liefern. Botnet-Entwickler:innen können auch ihren Zugang zu den infizierten Netzwerken verkaufen oder vermieten. So sind die Sophos-Teams beispielsweise auf Qakbot-Samples gestoßen, die Cobalt Strike Beacons, also den ersten Fuß in der Tür zum Unternehmensnetzwerk, direkt an einen infizierten Host liefern. Sobald Qakbot-Betreiber den infizierten Computer benutzt haben, können sie den Zugang zu diesen Beacons an ihre Kundschaft weitergeben, vermieten oder verkaufen.

Was tun gegen Qakbot?

Sophos empfiehlt, ungewöhnlichen oder unerwarteten E-Mails mit Vorsicht zu begegnen, selbst wenn es sich bei den Nachrichten um Antworten auf bestehendem E-Mail-Verkehr zu handeln scheint. In der von Sophos untersuchten Qakbot-Kampagne war die Verwendung lateinischer Ausdrücke in URLs ein potenzielles Warnsignal.

Zudem sollten Sicherheitsteams überprüfen, ob die von ihren Sicherheitstechnologien bereitgestellten Verhaltensschutzmechanismen eine Qakbot-Infektion verhindern. Netzwerkgeräte warnen Administratoren auch, wenn ein infizierter Benutzer versucht, sich mit einer bekannten Command-and-Control-Adresse oder -Domäne zu verbinden. Weitere Informationen finden sich im Artikel “Qakbot Injects Itself into the Middle of Your Conversations” bei SophosLabs.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Perfide Cyberattacken auf Hotels

Kriminelle nutzen zunehmend den wohlmeinenden Servicegedanken von Hotelmitarbeitenden aus: Sophos X-Ops hat mehrere Fälle einer „Malspam“-Kampagne aufgedeckt, die sich an ➡ Weiterlesen

Digitale Identitäten: Fünf Herausforderungen 2024

Schon im vergangenen Jahr sorgten generative KI und die weltweite IT-Sicherheitslage für Schlagzeilen. Beides hat Auswirkungen auf digitale Identitäten und ➡ Weiterlesen

Die gefährlichste Malware im November: Formbook Platz 1

Die häufigste Malware im November 2023 ist der Infostealer Formbook und die am häufigsten angegriffene Branche ist ISP/MSP. Command Injection ➡ Weiterlesen

KI-basierte Cybersecurity noch ganz am Anfang

Cybersecurity-Verantwortliche sehen zwar das große Potential, das in KI-basierten Securitylösungen steckt, aber eine breite Umsetzung in den Unternehmen ist noch ➡ Weiterlesen

Viele deutsche Handwerkskammern weiterhin offline

Bereits Anfang Januar wurde der IT-Dienstleister ODAV das Opfer einer Cyberattacke. Da der Dienstleister viele Services für deutsche Handwerkskammer stellt ➡ Weiterlesen

IT-Fachkräfte: 149.000 Stellen in Deutschland nicht besetzt

Laut Bitkom-Umfrage bleiben Stellen für IT-Fachkräfte im Durchschnitt über sieben Monate unbesetzt. 77 % der Befragten erwarten, dass sich die ➡ Weiterlesen

Künstliche Intelligenz: Die wichtigsten Trends 2024

Die Weiterentwicklungen im Bereich Künstlicher Intelligenz bergen für Unternehmen sowohl Risiken für die Cybersicherheit als auch Chancen. Vor allem in ➡ Weiterlesen

75 Prozent der Industrieunternehmen Opfer eines Ransomware-Angriffs

Drei von vier Industrieunternehmen weltweit wurden im vergangenen Jahr Opfer eines Ransomware-Angriffs. Dies ist eines der Ergebnisse des neuen Reports ➡ Weiterlesen