Sophos X-Ops, Qakbot kötü amaçlı yazılımının yeni bir versiyonunu keşfetti ve analiz etti. Bu vakalar ilk olarak Aralık ortasında ortaya çıktı ve kolluk kuvvetlerinin geçen Ağustos ayında botnet altyapısını başarılı bir şekilde ortadan kaldırmasına rağmen Qakbot kötü amaçlı yazılımının gelişmeye devam ettiğini gösteriyor.
Saldırganlar izlerini gizlemek için daha da iyi yöntemler kullanıyor. Sophos X-Ops tarafından analiz edilen vakalar, siber suçluların kötü amaçlı yazılımın şifrelemesini güçlendirmek için yoğun çaba harcadığını gösteriyor. Bu durum savunmacıların kötü amaçlı kodu analiz etmesini zorlaştırdı. Ayrıca saldırganlar artık kötü amaçlı yazılım ile kontrol sunucusu arasındaki tüm iletişimi önceki sürümlere göre daha güçlü bir yöntem kullanarak şifreliyor. Kötü amaçlı yazılım ayrıca, sanal ortamda veya korumalı alanda çalışmasını engelleyen, daha önce kaldırılan bir özelliği de yeniden kullanıma sundu.
Qakbot'un yaratıcısı hala aktif
Quakbot ancak botun yaratıcıları hakkında dava açılırsa sona erebilir. Sophos X-Ops Baş Araştırmacısı Andrew Brandt, son Qakbot olaylarıyla ilgili yorum yaparken, "Qakbot botnet altyapısını ortadan kaldırmak bir zaferdi, ancak botun yaratıcıları hâlâ aktif" dedi. “Orijinal Qakbot kaynak koduna erişimi olan siber suçlular, yeni varyantlar üzerinde denemeler yapıyor ve bunları gerçek dünya kullanımında test ediyor.
En dikkate değer değişikliklerden biri, botun sabit kodlanmış varsayılan yapılandırmaları gizlemek için kullandığı şifreleme algoritmasıyla ilgilidir. Bu, analistlerin kötü amaçlı yazılımın nasıl çalıştığını görmesini daha da zorlaştırıyor. Saldırganlar ayrıca sanal makine (VM) tespiti gibi daha önce kullanımdan kaldırılan özellikleri de geri yüklüyor ve bunları bu yeni sürümlerde test ediyor. Qakbot'un geliştirilmesinin, yaratıcıları hakkında dava açılana kadar devam etmesi çok muhtemel. İyi haber şu ki, önceden oluşturulmuş imzalara sahip bu yeni Qakbot çeşitleri, uç nokta tespit yazılımı tarafından kolaylıkla tespit edilebiliyor.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.
Konuyla ilgili makaleler