Qakbot, virüslü bilgisayarlarda ayrıntılı profil taramaları gerçekleştirir, ek modüller indirir ve gelişmiş şifreleme sunar. Saldırıların başlangıç noktası: Siber suçlular ustaca gerçek e-posta iletişim hatlarına kilitlenir. Qakbot botnet, Emotet'in izinden gidiyor.
Sophos, botnet'in işletmeler için giderek daha karmaşık ve tehlikeli hale geldiğini gösteren Qakbot'un teknik bir analizini yayınladı. SophosLabs, “Qakbot Kendini Konuşmalarınızın Ortasına Injekte Ediyor” makalesinde, botnet'in e-posta dizisi ele geçirme yoluyla nasıl yayıldığını ve yeni virüs bulaşmış bilgisayarlardan çeşitli profil bilgilerini nasıl topladığını gösteren yakın tarihli bir Qakbot kampanyasını anlatıyor. Buna, diğer şeylerin yanı sıra tüm yapılandırılmış kullanıcı hesapları ve izinleri, yüklü yazılımlar ve çalışan hizmetler dahildir. Botnet ayrıca çekirdek botnet'in işlevselliğini artıran bir dizi ek kötü amaçlı modül indirir.
Qakbot'un kötü amaçlı yazılım kodu, geleneksel olmayan şifrelemeye sahiptir. Bu aynı zamanda iletişimin içeriğini gizlemeye de hizmet eder. Sophos, botnet'in kötü amaçlı modüllerinin ve komuta ve kontrol sisteminin şifresini çözerek, Qakbot'un talimatlarını nasıl aldığını anladı.
Qakbot enfeksiyon zinciri
Sophos tarafından analiz edilen kampanyada botnet, mevcut e-posta trafiğine kötü amaçlı mesajlar ekledi. E-postalar, kısa bir cümle ve kötü amaçlı bir Excel dosyası içeren bir zip dosyasını indirmek için bir bağlantı içerir. Bulaşma zincirini etkinleştirmek için kullanıcılardan içeriği etkinleştirmeleri istendi. Botnet yeni bir hedefe bulaştığında, ayrıntılı bir profil taraması gerçekleştirir, verileri komuta ve kontrol sunucusuyla paylaşır ve ardından dinamik bağlantı kitaplıkları (DLL'ler) biçiminde en az üç farklı kötü amaçlı modülü indirirdi. botnet'e daha geniş bir yetenek yelpazesi verin.
İçe aktarılan modüller şunlardan oluşuyordu:
- Web sitelerine şifre çalma kodu enjekte eden bir modül
- Ağ taramaları gerçekleştiren ve virüslü makineye yakın diğer makineler hakkında veri toplayan bir modül
- Bir düzine SMTP (Basit Posta Aktarım Protokolü) e-posta sunucusunun adreslerini arayan ve ardından her birine bağlanıp spam göndermeye çalışan bir modül
Bir fidye yazılımı saldırısının bilinen öncüleri
“Qakbot, e-posta yoluyla dağıtılan çok amaçlı, modüler bir botnet'tir. Sophos'ta Baş Tehdit Araştırmacısı Andrew Brandt, "Siber suçlular, onu Trickbot ve Emotet'e benzer şekilde kötü amaçlı yazılım dağıtım aracı olarak giderek daha fazla kullanıyor" dedi. "Analizimiz, ayrıntılı kurban profil verilerinin toplandığını, botnet'in karmaşık komut dizilerini işleme yeteneğini ve çekirdek botnet motorunun işlevselliğini artıran bir dizi modülü gösteriyor."
Botnet enfeksiyonları, bir fidye yazılımı saldırısının iyi bilinen bir habercisidir. Bunun nedeni yalnızca botnet'lerin potansiyel olarak fidye yazılımı sağlaması değildir. Botnet geliştiricileri ayrıca virüslü ağlara erişimlerini satabilir veya kiralayabilir. Örneğin, Sophos ekipleri, kurumsal ağa açılan kapıdaki ilk adım olan Cobalt Strike işaretlerini doğrudan virüslü bir ana bilgisayara ileten Qakbot örnekleriyle karşılaştı. Qakbot operatörleri virüslü bilgisayarı kullandıktan sonra, müşterilerine bu işaretçilere erişim izni verebilir, kiralayabilir veya satabilirler.
Qakbot'a karşı ne yapılmalı?
Sophos, mesajlar mevcut e-posta trafiğine yanıtlar gibi görünse bile olağandışı veya beklenmedik e-postalara karşı dikkatli olmanızı önerir. Sophos'un araştırdığı Qakbot kampanyasında, URL'lerde Latince ifadelerin kullanılması potansiyel bir tehlike işaretiydi.
Ayrıca güvenlik ekipleri, güvenlik teknolojileri tarafından sağlanan davranışsal korumaların Qakbot bulaşmasını önlediğini doğrulamalıdır. Ağ cihazları ayrıca, virüs bulaşmış bir kullanıcı bilinen bir komut ve kontrol adresine veya etki alanına bağlanmaya çalıştığında yöneticileri uyarır. Daha fazla bilgi için, SophosLabs'ta “Qakbot, Konuşmalarınızın Ortasına Kendini Enjekte Eder” makalesine bakın.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.