Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Операторам Qbot требуется всего 30 минут на кражу учетных данных

10/02/22

QbotОператоры вредоносного ПО Qbot (также известного как Qakbot и QuakBot) возобновили свои атаки с целью кражи конфиденциальных данных, осуществляя их всего за 30 минут. Согласно отчету специалистов DFIR, злоумышленникам требуется полчаса, чтобы украсть данные браузера и электронные письма из Microsoft Outlook, и 50 минут, прежде чем они перейдут на соседнюю компьютерную систему.

Qbot быстро выполняет повышение привилегий сразу после заражения системы, в то время как полноценное разведывательное сканирование выполняется в течение десяти минут. Первоначальный доступ обычно осуществляется через документ Microsoft Excel (XLS), в котором используется макрос для установки DLL-загрузчика на компьютер. Затем полезная нагрузка выполняется для создания запланированной задачи через процесс msra.exe и повышает свои привилегии до системных.

Кроме того, вредоносная программа добавляет DLL-библиотеку Qbot в список исключений Защитника Windows, поэтому она не будет обнаружена при внедрении в msra.exe.

Вредоносная программа в течение 30 минут после первоначального запуска крадет электронные письма, которые затем используются для дальнейших фишинговых атак или продаются другим злоумышленникам. Qbot крадет учетные данные Windows из памяти с помощью внедрения команд в LSASS (Local Security Authority Server Service) и из web-браузеров. Они используются для перемещения по сети к другим устройствам.

Qbot перемещается ко всем компьютерным системам в сканируемой среде, копируя DLL-библиотеку на следующую цель и удаленно создавая службу для ее выполнения. В то же время предыдущая система очищается, поэтому атакованное устройство выглядит нормально. Кроме того, службы, созданные на новых устройствах, имеют параметр DeleteFlag, что приводит к их удалению при перезагрузке системы.

Операторы Qbot часто используют некоторые из скомпрометированных систем в качестве прокси-точек первого уровня для удобной маскировки и ротации адресов, а также используют несколько портов для SSL-связи с командным сервером.

Темы:УгрозыMicrosoft Officeхищение данныхDFIR
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...