Kẻ khai thác phần mềm độc hại QakBot mở rộng mạng C2 với 15 máy chủ mới

Tác giả sysadmin, T.M.Hai 12, 2023, 03:34:37 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 3 Khách đang xem chủ đề.

Kẻ khai thác phần mềm độc hại QakBot mở rộng mạng C2 với 15 máy chủ mới


Những kẻ điều hành liên quan đến phần mềm độc hại QakBot (còn gọi là QBot) đã thiết lập 15 máy chủ ra lệnh và kiểm soát (C2) mới tính đến cuối tháng 6 năm 2023.

Các phát hiện này là sự tiếp nối phân tích cơ sở hạ tầng của phần mềm độc hại từ Nhóm Cymru và được đưa ra hơn hai tháng sau khi Lumen Black Lotus Labs tiết lộ rằng 25% máy chủ C2 của họ chỉ hoạt động trong một ngày.


Công ty an ninh mạng cho biết: "QakBot có lịch sử nghỉ kéo dài vào mỗi mùa hè trước khi quay trở lại vào tháng 9, và các hoạt động gửi thư rác năm nay sẽ chấm dứt vào khoảng ngày 22 tháng 6 năm 2023".

"Nhưng liệu những người vận hành QakBot có thực sự đang đi nghỉ khi họ không gửi thư rác hay đây là thời gian 'nghỉ ngơi' để họ tinh chỉnh và cập nhật cơ sở hạ tầng cũng như công cụ của mình?"

Mạng C2 của QakBot, giống như trong trường hợp của Emotet và IcedID, được đặc trưng bởi kiến trúc phân tầng trong đó các nút C2 giao tiếp với các nút C2 Cấp 2 (T2) ngược dòng được lưu trữ trên các nhà cung cấp VPS được định vị địa lý ở Nga.

Phần lớn các máy chủ bot C2 giao tiếp với máy chủ nạn nhân đều được đặt tại Ấn Độ và các địa chỉ IP Đích của Hoa Kỳ được xác định từ các kết nối T2 gửi đi chủ yếu có trụ sở tại Hoa Kỳ, Ấn Độ, Mexico và Venezuela.

Cũng hiện diện cùng với C2 và C2 cấp 2 là máy chủ BackConnect (BC) có chức năng biến các bot bị nhiễm thành proxy cho các mục đích độc hại khác.


Nghiên cứu mới nhất của Nhóm Cymru tiết lộ rằng số lượng C2 hiện có giao tiếp với lớp T2 đã giảm đáng kể, chỉ còn lại 8 máy, một phần là do việc định tuyến không có giá trị của cơ sở hạ tầng cấp cao hơn của Black Lotus Labs vào tháng 5 năm 2023.

Công ty cho biết: "Chúng tôi quan sát thấy rằng vào ngày 2 tháng 6, tất cả các C2 của Hoa Kỳ đều biến mất và lưu lượng truy cập từ các C2 của Ấn Độ giảm đáng kể", đồng thời cho rằng việc thiếu hoạt động của Hoa Kỳ đã dẫn đến việc vô hiệu hóa việc định tuyến lớp T2.

Ngoài 15 máy chủ C2, sáu máy chủ C2 hoạt động từ trước tháng 6 và hai máy chủ C2 hoạt động vào tháng 6 đã tiếp tục hoạt động vào tháng 7 sau khi hoạt động gửi thư rác kết thúc.

Một phân tích sâu hơn về dữ liệu NetFlow cho thấy một mô hình trong đó "các trường hợp kết nối T2 gửi đi tăng lên thường xảy ra sau các hoạt động tăng đột biến đối với các kết nối bot C2 gửi đến" và "các kết nối T2 gửi đi tăng đột biến thường tương ứng với sự sụt giảm trong hoạt động của bot C2".

Nhóm Cymru cho biết: "Khi nâng cao nạn nhân được sử dụng làm cơ sở hạ tầng C2 với giao tiếp T2, QakBot trừng phạt người dùng hai lần một cách hiệu quả, lần đầu tiên là ở hành vi xâm phạm ban đầu và thứ hai là về nguy cơ tiềm ẩn đối với danh tiếng của một máy chủ bị xác định công khai là độc hại".

Công ty chỉ ra rằng bằng cách cắt đứt liên lạc đến các máy chủ ngược dòng, nạn nhân sẽ không thể nhận được hướng dẫn C2, từ đó bảo vệ hiệu quả người dùng hiện tại và tương lai khỏi bị xâm phạm.