Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Операторам Qbot требуется всего 30 минут на кражу учетных данных

10/02/22

QbotОператоры вредоносного ПО Qbot (также известного как Qakbot и QuakBot) возобновили свои атаки с целью кражи конфиденциальных данных, осуществляя их всего за 30 минут. Согласно отчету специалистов DFIR, злоумышленникам требуется полчаса, чтобы украсть данные браузера и электронные письма из Microsoft Outlook, и 50 минут, прежде чем они перейдут на соседнюю компьютерную систему.

Qbot быстро выполняет повышение привилегий сразу после заражения системы, в то время как полноценное разведывательное сканирование выполняется в течение десяти минут. Первоначальный доступ обычно осуществляется через документ Microsoft Excel (XLS), в котором используется макрос для установки DLL-загрузчика на компьютер. Затем полезная нагрузка выполняется для создания запланированной задачи через процесс msra.exe и повышает свои привилегии до системных.

Кроме того, вредоносная программа добавляет DLL-библиотеку Qbot в список исключений Защитника Windows, поэтому она не будет обнаружена при внедрении в msra.exe.

Вредоносная программа в течение 30 минут после первоначального запуска крадет электронные письма, которые затем используются для дальнейших фишинговых атак или продаются другим злоумышленникам. Qbot крадет учетные данные Windows из памяти с помощью внедрения команд в LSASS (Local Security Authority Server Service) и из web-браузеров. Они используются для перемещения по сети к другим устройствам.

Qbot перемещается ко всем компьютерным системам в сканируемой среде, копируя DLL-библиотеку на следующую цель и удаленно создавая службу для ее выполнения. В то же время предыдущая система очищается, поэтому атакованное устройство выглядит нормально. Кроме того, службы, созданные на новых устройствах, имеют параметр DeleteFlag, что приводит к их удалению при перезагрузке системы.

Операторы Qbot часто используют некоторые из скомпрометированных систем в качестве прокси-точек первого уровня для удобной маскировки и ротации адресов, а также используют несколько портов для SSL-связи с командным сервером.

Темы:УгрозыMicrosoft Officeхищение данныхDFIR
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...