Qakbot проводить детальне сканування профілів заражених комп’ютерів, завантажує додаткові модулі та пропонує складне шифрування. Відправна точка для атак: кіберзлочинці вміло чіпляються за реальні лінії зв’язку електронної пошти. Ботнет Qakbot йде по стопах Emotet.
Компанія Sophos опублікувала технічний аналіз Qakbot, який показує, що ботнет стає все більш складним і небезпечним для бізнесу. У статті «Qakbot Injects Itselfs On the Middle of Your Conversations» SophosLabs описує нещодавню кампанію Qakbot, яка показує, як ботнет поширюється через викрадення ланцюжків електронної пошти та збирає різноманітну інформацію профілю з нещодавно заражених комп’ютерів. Це включає, серед іншого, усі налаштовані облікові записи користувачів і дозволи, встановлене програмне забезпечення та запущені служби. Ботнет також завантажує низку додаткових шкідливих модулів, які розширюють функціональні можливості основного ботнету.
Шкідливий код Qakbot має нетрадиційне шифрування. Це також служить для маскування змісту спілкування. Розшифрувавши шкідливі модулі ботнету та систему командування та контролю, Sophos з’ясував, як Qakbot отримує його інструкції.
Ланцюг інфекції Qakbot
У кампанії, проаналізованій Sophos, ботнет вставляв шкідливі повідомлення в існуючий трафік електронної пошти. Електронні листи містять коротке речення та посилання для завантаження zip-файлу, що містить шкідливий файл Excel. Користувачам було запропоновано ввімкнути вміст, щоб активувати ланцюг зараження. Після того, як ботнет заразив нову ціль, він виконував детальне сканування профілю, ділився даними зі своїм командно-контрольним сервером, а потім завантажував принаймні три різні шкідливі модулі у формі бібліотек динамічного компонування (DLL). надати ботнету ширший спектр можливостей.
Імпортовані модулі складалися з:
- Модуль, який вставляє на веб-сайти код для крадіжки паролів
- Модуль, який сканує мережу та збирає дані про інші комп’ютери поблизу зараженого комп’ютера
- Модуль, який шукає адреси дюжини серверів електронної пошти SMTP (Simple Mail Transfer Protocol), а потім намагається підключитися до кожного з них і надіслати спам
Відомі провісники атаки програм-вимагачів
«Qakbot — це багатоцільовий модульний ботнет, який поширюється електронною поштою. Кіберзлочинці все частіше використовують його як засіб доставки зловмисного програмного забезпечення, подібно до Trickbot і Emotet», — сказав Ендрю Брандт, головний дослідник загроз у Sophos. «Наш аналіз демонструє збір детальних даних профілю жертви, здатність ботнету обробляти складні послідовності команд і низку модулів, які розширюють функціональність основного двигуна ботнету».
Зараження ботнетів є добре відомим попередником атаки програм-вимагачів. Це не лише тому, що ботнети потенційно можуть розповсюджувати програми-вимагачі. Розробники ботнетів також можуть продавати або здавати в оренду свій доступ до заражених мереж. Наприклад, команди Sophos зіткнулися зі зразками Qakbot, які доставляють маяки Cobalt Strike, перші двері в корпоративну мережу, безпосередньо на заражений хост. Після того, як оператори Qakbot скористалися зараженим комп’ютером, вони можуть надавати, орендувати або продавати доступ до цих маяків своїм клієнтам.
Що робити проти Qakbot?
Sophos рекомендує бути обережними щодо незвичних або неочікуваних електронних листів, навіть якщо вони виглядають як відповіді на наявний електронний трафік. У кампанії Qakbot, яку досліджував Sophos, використання латинських фраз в URL-адресах було потенційним тривожним прапорцем.
Крім того, служби безпеки повинні перевірити, чи поведінковий захист, який забезпечують їхні технології безпеки, запобігає зараженню Qakbot. Мережеві пристрої також сповіщають адміністраторів, коли заражений користувач намагається підключитися до відомої командно-контрольної адреси або домену. Щоб отримати додаткові відомості, перегляньте статтю «Qakbot Injects Yourself In the Middle of Your Conversations» на сайті SophosLabs.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.