Cisco Talos'un yeni tehdit istihbaratı bulgularının gösterdiği gibi, Qakbot kötü amaçlı yazılımının arkasındaki tehdit aktörü (bağlı kuruluşlar) aktif olmaya devam ediyor ve Ağustos 2023'ün başından bu yana yeniden bir kampanya yürütüyor.
Kampanyada, fidye yazılımı "Ransom Knight"ı ve arka kapı "Remcos"u kimlik avı e-postaları yoluyla yaydılar. Özel olan: Ağustos ayının sonunda Qakbot altyapısına FBI tarafından el konuldu.. Ancak ağustos ayı başında başlatılan kampanya devam ediyor. Bu, kolluk kuvvetlerinin eyleminin Qakbot operatörlerinin spam gönderme altyapısını değil, yalnızca komuta ve kontrol (C2) sunucularını etkilemiş olabileceğini gösteriyor.
Qakbot diğer dağıtım kanallarını kullanıyor
Cisco Talos, yeni kampanyayı Qakbot iş ortaklarıyla ilişkilendiriyor çünkü bu kampanyada kullanılan LNK dosyalarındaki meta veriler, önceki Qakbot "AA" ve "BB" kampanyalarında kullanılan makinelerin meta verileriyle eşleşiyor. Her ne kadar araştırmacılar tehdit aktörlerinin altyapı kapatıldıktan sonra Qakbot'u yaydıklarını henüz gözlemlememiş olsa da Cisco Talos, kötü amaçlı yazılımın gelecekte de önemli bir tehdit oluşturmaya devam edeceğine inanıyor. Sebebi: Geliştiriciler tutuklanmadı ve bu nedenle Qakbot altyapısını yeniden inşa etmeye karar verebildiler.
“FBI'ın Qakbot altyapısını kapatmasından sonra bile mevcut tehdit seviyesi hala yüksek. Veya eski bir futbol deyişiyle ifade etmek gerekirse: 'Maçtan sonra, maçtan öncedir'” diyor Cisco Talos'tan Thorsten Rosendahl. "Analiz, siber suçlulara karşı başarılı bir saldırının bile sürdürülebilir güvenlik yaratmadığını gösteriyor. Tehdit durumu Almanya da dahil olmak üzere yüksek olmaya devam ediyor.”
Cisco.com'da daha fazlası
Cisco Hakkında Cisco, İnternet'i mümkün kılan dünyanın lider teknoloji şirketidir. Cisco, küresel ve kapsayıcı bir gelecek için uygulamalar, veri güvenliği, altyapı dönüşümü ve ekiplerin güçlendirilmesi için yeni olanaklar sunuyor.