Контакты
Подписка 2023
Импортозамещение ИТ-решений и ПО
22 июня 2023. Импортозамещение ИТ-решений и ПО в госсекторе и ключевых отраслях
Жми, чтобы участвовать

Операторам Qbot требуется всего 30 минут на кражу учетных данных

10/02/22

QbotОператоры вредоносного ПО Qbot (также известного как Qakbot и QuakBot) возобновили свои атаки с целью кражи конфиденциальных данных, осуществляя их всего за 30 минут. Согласно отчету специалистов DFIR, злоумышленникам требуется полчаса, чтобы украсть данные браузера и электронные письма из Microsoft Outlook, и 50 минут, прежде чем они перейдут на соседнюю компьютерную систему.

Qbot быстро выполняет повышение привилегий сразу после заражения системы, в то время как полноценное разведывательное сканирование выполняется в течение десяти минут. Первоначальный доступ обычно осуществляется через документ Microsoft Excel (XLS), в котором используется макрос для установки DLL-загрузчика на компьютер. Затем полезная нагрузка выполняется для создания запланированной задачи через процесс msra.exe и повышает свои привилегии до системных.

Кроме того, вредоносная программа добавляет DLL-библиотеку Qbot в список исключений Защитника Windows, поэтому она не будет обнаружена при внедрении в msra.exe.

Вредоносная программа в течение 30 минут после первоначального запуска крадет электронные письма, которые затем используются для дальнейших фишинговых атак или продаются другим злоумышленникам. Qbot крадет учетные данные Windows из памяти с помощью внедрения команд в LSASS (Local Security Authority Server Service) и из web-браузеров. Они используются для перемещения по сети к другим устройствам.

Qbot перемещается ко всем компьютерным системам в сканируемой среде, копируя DLL-библиотеку на следующую цель и удаленно создавая службу для ее выполнения. В то же время предыдущая система очищается, поэтому атакованное устройство выглядит нормально. Кроме того, службы, созданные на новых устройствах, имеют параметр DeleteFlag, что приводит к их удалению при перезагрузке системы.

Операторы Qbot часто используют некоторые из скомпрометированных систем в качестве прокси-точек первого уровня для удобной маскировки и ротации адресов, а также используют несколько портов для SSL-связи с командным сервером.

Темы:УгрозыMicrosoft Officeхищение данныхDFIR
30 мая 2023. Онлайн-конференция. Безопасные российские СУБД и защита от утечек
4 июля 2023. Эволюция антивирусов: установить нельзя заменить
Жми, чтобы участвовать
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
20 июня 2023. Безопасные российские СУБД и защита от утечек
20.06.23: Безопасные российские СУБД и защита от утечек
Жми, чтобы участвовать

Еще темы...