Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Четверть C2-серверов QBot работают всего сутки. Так хакеры обеспечивают скрытность и адаптивность своего ботнета

05/06/23

Qbot

Исследователи из Lumen Black Lotus Labs провели подробный анализ крайне распространённого ботнета QBot, в ходе которого выяснилось, что 25% его C2-серверов активны не более суток, а 50% — не более недели. Это свидетельствует об адаптивной и динамичной инфраструктуре вредоносного ПО, пишет Securitylab.

«Эта ботнет использует техники, чтобы скрыть свою инфраструктуру в пространстве резидентских IP-адресов и зараженных веб-серверах вместо того, чтобы прятаться в сети хостинговых виртуальных частных серверов (VPS)», — заявили специалисты по безопасности Крис Формоза и Стив Радд.

QBot, также известный как QakBot и Pinkslipbot, является постоянной и мощной угрозой, которая начиналась как банковский троян, а затем превратилась в загрузчик для других полезных нагрузок, включая вымогательские программы. Годом его происхождения считается 2007-ой.

Вредонос попадает на устройства жертв через специализированные фишинговые электронные письма, которые либо сразу содержат файлы-приманки, либо перенаправляют к ним средствами вредоносных URL-адресов.

Злоумышленники QBot постоянно совершенствовали свои тактики на протяжении многих лет, чтобы проникать в системы жертв различными методами, такими как захват электронных писем, HTML-контрабанда и использование необычных типов вложений для обхода систем защиты.

Ещё одним интересным аспектом операции является сам принцип распространения и работы вредоносного ПО: активность QBot происходит в виде небольших, но интенсивных всплесков, сменяемых бездействием, после чего атаки возобновляются с обновленной цепочкой заражения.

В то время как волны фишинга QBot в начале 2023 года использовали Microsoft OneNote в качестве вектора вторжения, в последних атаках хакеры использовали защищенные PDF-файлы для установки вредоноса на устройства жертв.

Зависимость QakBot от зараженных веб-серверов и хостов приводит к короткому сроку жизни и высокому уровню сменяемости, что приводит к сценарию, при котором в среднем за семидневный период появляется от 70 до 90 новых серверов QBot.

«Qakbot сохраняет устойчивость за счёт переоборудования устройств жертв в C2-серверы», — заявили исследователи.

По данным Team Cymru, опубликованным в прошлом месяце, большинство C2-серверов ботнета Qakbot с большой долей вероятности являются именно скомпрометированными хостами, доступ к которым был получен либо в результате атак самого ботнета, либо куплен у других киберпреступников. По состоянию на март 2023 года большая часть серверов ботнета находится в Индии.

«Qakbot до сих пор активен благодаря тому, что принял подход быстрого развёртывания для создания и развития своей архитектуры. Ботнет демонстрирует техническое мастерство путём изменения методов первичного доступа и поддержания устойчивой и уклончивой резидентской C2-инфраструктуры», — заключили исследователи.

 

Темы:Преступлениятактики кибератакBlack Lotus LabsCymru
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...