QAKBOT kötü amaçlı yazılımının dağıtımı, kısa bir boş zaman aradan sonra, 8 Eylül 2022’de Black Basta fidye yazılımı grubunun operatörleri tarafından bir kez daha diriltildi.
En son dağıtım mekanizması ve kampanya, Trend Micro’daki siber güvenlik araştırmacıları ve hedeflenen ağlara sızmak için Sızma Testi araçlarını kullanan saldırganlar tarafından belirlenirken.
Bu son kampanyada, tehdit aktörleri, aşağıdaki kötü amaçlı yüklerin yardımıyla QAKBOT kötü amaçlı yazılımını dağıtıyor:-
- Duman Yükleyici
- Duygu
- Kötü amaçlı spam (BB ve Obama20x kimlikleri)
- Brute Ratel C4 çerçevesi
İkinci aşama bir yük olarak, saldırganlar son saldırılarında Brute Ratel C4 çerçeve yükünü kullanarak Qakbot kötü amaçlı yazılımını dağıttı. Saldırı sırasında, saldırının bir parçası olarak yanal hareket etmek için Kobalt Strike da kullanıldı.
Teknik Analiz
Kötü niyetli bir e-posta tüm kampanyayı ateşler ve bu e-posta, kurbanları bir indirme sayfasına yönlendiren kötü amaçlı bir URL içerir. Burada, belgeleri ve dosyaları içeren bir arşiv dosyası indirilecektir.
Arşivde bulacağınız iki şey var: –
- ISO dosyası biçiminde bir LNK dosyası
- İki gizli alt dizin
C&C sunucularının, güvenliği ihlal edilmiş ana bilgisayarlar arasında, altyapının tespit edilmesini zorlaştıran bir coğrafi dağılımı vardır. Tüm bu ana bilgisayarların ISP geniş bant ağlarında bulunduğu 28 ülke var.
Her bir C&C sunucusu, QAKBOT kötü amaçlı yazılımının operatörleri tarafından bir kez kullanılır, çünkü bir sunucuyu tekrar tekrar kullanmazlar, bunun yerine daha fazla karmaşıklık için her zaman değiştirmeye devam ederler. Hatta bazılarının birden fazla QAKBOT konfigürasyonunda kaydedildiği tespit edildi.
QAKBOT ağ üzerinde bir keşif operasyonu başlatır ve ardından Brute Ratel DLL’sini girişinden itibaren 6 dakika içinde bırakır.
Çevrede sonraki keşif süreci sırasında aşağıdakiler belirlenir: –
- Ayrıcalıklı kullanıcılar
- Aktif Dizin
- Grup ilkeleri
- Etki Alanları
- bilgisayarlar
- Kullanıcılar
Verileri sızmaya hazırlamak için dosyalar daha sonra bir ZIP dosyasına paketlenir ve bu veri çıkarma işleminin tamamlanması sadece birkaç saniye sürer.
QAKBOT C&C Sunucu Ülkeleri
Burada, QAKBOT için C&C sunucularının bulunduğu ülkelerin bir listesini derledik:-
- Afganistan
- Cezayir
- Arjantin
- Avusturya
- Brezilya
- Bulgaristan
- Kanada
- Şili
- Kolombiya
- Mısır
- Hindistan
- Endonezya
- Japonya
- Meksika
- Moğolistan
- Fas
- Hollanda
- Katar
- Rusya
- Güney Afrika
- Tayvan
- Tayland
- Türkiye
- Birleşik Arap Emirlikleri
- Birleşik Krallık
- Amerika Birleşik Devletleri
- Vietnam
- Yemen
Bunun dışında, saldırganların şifre korumalı bir ZIP dosyası teslim etmek için HTML Kaçakçılığı yöntemini de kullandığı tespit edildi. Bu teknikle HTML eklerine veya web sayfalarına kötü amaçlı kodlar enjekte edilebilir.
Öneriler
Aşağıda, sağlanan tüm önerilerden bahsettik: –
- Her zaman e-posta göndereni doğrulayın.
- Bilinmeyen bir göndericiden gelen şüpheli ekleri açmayın veya indirmeyin.
- Şüpheli bağlantıları tıklamayın veya açmayın.
- Her zaman üzerlerine gelerek gömülü bağlantıların gerçekliğini doğrulayın.
- Herhangi bir işlem yapmadan önce, e-postanın gerçekten onu gönderdiğini iddia eden şirketten gelip gelmediğini doğrulamanız önerilir.
Ayrıca Okuyun: Güvenli Web Filtrelemeyi İndirin – Ücretsiz E-kitap