Qakbot-Botnet wandelt auf Emotets Spuren

Beitrag teilen

Qakbot führt detaillierte Profil-Scans der infizierten Computer durch, lädt zusätzliche Module herunter und bietet eine ausgeklügelte Verschlüsselung. Ausgangspunkt für die Angriffe: Die Cyberkriminellen klinken sich geschickt in reale E-Mail-Kommunikationsstränge ein. Qakbot-Botnet wandelt so auf Emotets Spuren.

Sophos hat eine technische Analyse von Qakbot veröffentlicht, aus der hervorgeht, dass das Botnet immer fortschrittlicher und gefährlicher für Unternehmen wird. In dem Artikel “Qakbot Injects Itself into the Middle of Your Conversations” beschreiben die SophosLabs eine aktuelle Qakbot-Kampagne, die zeigt, wie sich das Botnet durch E-Mail-Thread-Hijacking verbreitet und eine Vielzahl von Profilinformationen von neu infizierten Computern sammelt. Dazu gehören unter anderem alle konfigurierten Benutzer:innen-Konten und -Berechtigungen, installierte Software und laufende Dienste. Das Botnet lädt darüber hinaus eine Reihe von zusätzlichen, bösartigen Modulen herunter, welche die Funktionalität des Kern-Botnets erweitern.

Der Malware-Code von Qakbot zeichnet sich durch eine unkonventionelle Verschlüsselung aus. Diese dient auch dazu, den Inhalt der Kommunikation zu verschleiern. Sophos hat die schädlichen Module sowie das Befehls- und Kontrollsystem des Botnets entschlüsselt und so herausgefunden, wie Qakbot seine Anweisungen erhält.

Die Qakbot-Infektionskette

Bei der von Sophos analysierten Kampagne fügte das Botnet schädliche Nachrichten in bestehenden E-Mail-Verkehr ein. Die E-Mails enthalten einen kurzen Satz und einen Link zum Download einer Zip-Datei, die eine schädliche Excel-Datei enthält. Die Benutzer:innen wurden aufgefordert, Inhalte zu aktivieren, um die Infektionskette zu aktivieren. Sobald das Botnet ein neues Ziel infiziert hatte, führte es einen detaillierten Profil-Scan durch, teilte die Daten mit seinem Command-and-Control-Server und lud dann mindestens drei verschiedene bösartige Module in Form von Dynamic Link Libraries (DLL) herunter, die dem Botnet eine breitere Palette an Möglichkeiten bieten.

Die eingeschleusten Module bestanden aus:

  • Einem Modul, das Code zum Stehlen von Passwörtern in Webseiten einfügt
  • Einem Modul, das Netzwerk-Scans durchführt und Daten über andere Rechner in der Nähe des infizierten Computers sammelt
  • Einem Modul, das die Adressen von einem Dutzend SMTP-E-Mail-Servern (Simple Mail Transfer Protocol) ermittelt und dann versucht, eine Verbindung zu jedem einzelnen Server herzustellen und Spam zu versenden

Bekannte Vorläufer für einen Ransomware-Angriff

„Qakbot ist ein modulares Botnet, das für mehrere Zwecke einsetzbar ist und per E-Mail verbreitet wird. Cyber-Kriminelle nutzen es als Zustellungs-Tool für Malware immer häufiger, ähnlich wie Trickbot und Emotet“, sagt Andrew Brandt, Principal Threat Researcher bei Sophos. „Unsere Analyse zeigt die Erfassung detaillierter Opferprofildaten, die Fähigkeit des Botnets, komplexe Befehlssequenzen zu verarbeiten sowie eine Reihe von Modulen, die die Funktionalität der zentralen Botnet-Engine erweitern.“

Botnet-Infektionen sind ein bekannter Vorläufer für einen Ransomware-Angriff. Dies liegt nicht nur daran, dass Botnets potenziell Ransomware liefern. Botnet-Entwickler:innen können auch ihren Zugang zu den infizierten Netzwerken verkaufen oder vermieten. So sind die Sophos-Teams beispielsweise auf Qakbot-Samples gestoßen, die Cobalt Strike Beacons, also den ersten Fuß in der Tür zum Unternehmensnetzwerk, direkt an einen infizierten Host liefern. Sobald Qakbot-Betreiber den infizierten Computer benutzt haben, können sie den Zugang zu diesen Beacons an ihre Kundschaft weitergeben, vermieten oder verkaufen.

Was tun gegen Qakbot?

Sophos empfiehlt, ungewöhnlichen oder unerwarteten E-Mails mit Vorsicht zu begegnen, selbst wenn es sich bei den Nachrichten um Antworten auf bestehendem E-Mail-Verkehr zu handeln scheint. In der von Sophos untersuchten Qakbot-Kampagne war die Verwendung lateinischer Ausdrücke in URLs ein potenzielles Warnsignal.

Zudem sollten Sicherheitsteams überprüfen, ob die von ihren Sicherheitstechnologien bereitgestellten Verhaltensschutzmechanismen eine Qakbot-Infektion verhindern. Netzwerkgeräte warnen Administratoren auch, wenn ein infizierter Benutzer versucht, sich mit einer bekannten Command-and-Control-Adresse oder -Domäne zu verbinden. Weitere Informationen finden sich im Artikel “Qakbot Injects Itself into the Middle of Your Conversations” bei SophosLabs.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

IT-Sicherheit: NIS-2 macht sie zur Chefsache

Nur bei einem Viertel der deutschen Unternehmen übernimmt die Geschäftsführung die Verantwortung für die IT-Sicherheit. Vor allem in kleineren Unternehmen ➡ Weiterlesen

Anstieg der Cyberangriffe um 104 Prozent in 2023

Ein Unternehmen für Cybersicherheit hat die Bedrohungslandschaft des letzten Jahres unter die Lupe genommen. Die Ergebnisse bieten entscheidende Einblicke in ➡ Weiterlesen

IT-Security: Grundlage für LockBit 4.0 entschärft

in Zusammenarbeit mit der britischen National Crime Agency (NCA) analysierte Trend Micro die in der Entwicklung befindliche und unveröffentlichte Version ➡ Weiterlesen

MDR und XDR via Google Workspace

Ob im Cafe, Flughafen-Terminal oder im Homeoffice – Mitarbeitende arbeiten an vielen Orten. Diese Entwicklung bringt aber auch Herausforderungen mit ➡ Weiterlesen

Mobile Spyware ist eine Gefahr für Unternehmen

Sowohl im Alltag als auch in Unternehmen nutzen immer mehr Menschen mobile Geräte. Dadurch nimmt auch die Gefahr von "Mobil ➡ Weiterlesen

Crowdsourced Security lokalisiert viele Schwachstellen

Crowdsourced Security hat im letzten Jahr stark zugenommen. Im öffentlichen Bereich wurden 151 Prozent mehr Schwachstellen gemeldet als im Vorjahr. ➡ Weiterlesen

KI auf Enterprise Storage bekämpft Ransomware in Echtzeit

Als einer der ersten Anbieter integriert NetApp künstliche Intelligenz (KI) und maschinelles Lernen (ML) direkt in den Primärspeicher, um Ransomware ➡ Weiterlesen

FBI: Internet Crime Report zählt 12,5 Milliarden Dollar Schaden 

Das Internet Crime Complaint Center (IC3) des FBI hat seinen Internet Crime Report 2023 veröffentlicht, der Informationen aus über 880.000 ➡ Weiterlesen