QBot olarak bilinen “kaçak ve inatçı” kötü amaçlı yazılımın analizi, komuta ve kontrol (C2) sunucularının %25’inin yalnızca bir gün boyunca aktif olduğunu ortaya çıkardı.
Ayrıca Lumen Black Lotus Labs, The Hacker News ile paylaştığı bir raporda, sunucuların %50’sinin bir haftadan fazla aktif kalmadığını, bunun uyarlanabilir ve dinamik bir C2 altyapısının kullanıldığını gösterdiğini söyledi.
Güvenlik araştırmacıları Chris Formosa ve Steve Rudd, “Bu botnet, barındırılan sanal özel sunuculardan (VPS’ler) oluşan bir ağda saklanmak yerine, altyapısını konut IP alanında ve virüslü web sunucularında gizlemek için teknikler uyarladı” dedi.
QakBot ve Pinkslipbot olarak da adlandırılan QBot, fidye yazılımı da dahil olmak üzere diğer yükler için bir indiriciye dönüşmeden önce bir bankacılık truva atı olarak başlayan kalıcı ve güçlü bir tehdittir. Kökenleri 2007 yılına kadar gitmektedir.
Kötü amaçlı yazılım, kurbanların cihazlarına doğrudan sahte dosyaları içeren veya sahte belgelere yönlendiren katıştırılmış URL’ler içeren hedef odaklı kimlik avı e-postaları yoluyla ulaşır.
QBot’un arkasındaki tehdit aktörleri, e-posta dizisi ele geçirme, HTML kaçakçılığı ve güvenlik engellerini aşmak için alışılmadık ek türleri kullanma gibi farklı yöntemler kullanarak kurban sistemlerine sızmak için taktiklerini yıllar içinde sürekli olarak geliştirdiler.
Operasyonun bir diğer dikkate değer yönü, çalışma tarzının kendisidir: QBot’un malspam kampanyaları, yalnızca yenilenmiş bir enfeksiyon zinciriyle yeniden yüzeye çıkmak için çok az veya hiç saldırı yapılmayan yoğun aktivite patlamaları şeklinde oynanır.
2023’ün başında QBot’u taşıyan kimlik avı dalgaları, Microsoft OneNote’u bir saldırı vektörü olarak kullanırken, son saldırılarda, kötü amaçlı yazılımı kurban makinelere yüklemek için korumalı PDF dosyaları kullanıldı.
QakBot’un C2 için konut IP alanında bulunan güvenliği ihlal edilmiş web sunucularına ve ana bilgisayarlara güvenmesi, kısa bir kullanım ömrü anlamına gelir ve ortalama olarak yedi günlük bir süre içinde 70 ila 90 yeni sunucunun ortaya çıktığı bir senaryoya yol açar.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
Araştırmacılar, “Qakbot, kurban makineleri C2’lere dönüştürerek dayanıklılığı koruyor” dedi ve “daha sonra C2’lere dönüşen botlar aracılığıyla C2’lerin arzını” yenilediğini ekledi.
Team Cymru tarafından geçen ay yayınlanan verilere göre, Qakbot bot C2 sunucularının çoğunun, Mart 2023 itibarıyla çoğu Hindistan’da bulunan ve üçüncü taraf bir aracıdan satın alınan, ele geçirilmiş ana bilgisayar olduğundan şüpheleniliyor.
Black Lotus Labs’ın saldırı altyapısı incelemesi, virüs bulaşmış botların “önemli bir sayısını” daha sonra başka kötü amaçlar için reklamı yapılabilecek bir proxy’ye dönüştüren bir arka bağlantı sunucusunun varlığını daha da ortaya çıkardı.
Araştırmacılar, “Qakbot, mimarisini inşa etmek ve geliştirmek için sahaya uygun bir yaklaşım benimseyerek sebat etti.”
“Emotet gibi tam sayılara dayanmasa da, çeşitli ilk erişim yöntemlerini kullanarak ve esnek ama kaçamak bir konut C2 mimarisini koruyarak teknik hüner sergiliyor.”