Kod adı verilen koordineli bir yasa uygulama çabası Ördek Avı Operasyonu Dünya çapında 700.000’den fazla bilgisayarı tehlikeye attığı ve fidye yazılımının yanı sıra finansal dolandırıcılığı da kolaylaştırdığı tahmin edilen kötü şöhretli bir Windows kötü amaçlı yazılım ailesi olan QakBot’u çökertti.
Bu amaçla, ABD Adalet Bakanlığı (DoJ), kötü amaçlı yazılımın “kurban bilgisayarlardan silindiğini, böylece daha fazla zarar vermesinin önlendiğini” söyledi ve yasa dışı kâr amacıyla 8,6 milyon dolardan fazla kripto para ele geçirdiğini de sözlerine ekledi.
Sınır ötesi tatbikata Fransa, Almanya, Letonya, Romanya, Hollanda, İngiltere ve ABD’nin katılımının yanı sıra siber güvenlik şirketi Zscaler’in teknik desteği de dahildi.
Bu söküm, “siber suçlular tarafından kullanılan bir botnet altyapısının ABD öncülüğünde gerçekleşen en büyük mali ve teknik kesintisi” olarak övüldü. Hiçbir tutuklama açıklanmadı.
QBot ve Pinkslipbot olarak da bilinen QakBot, hayatına 2007 yılında bir bankacılık truva atı olarak başladı ve daha sonra kurbanların haberi olmadan, fidye yazılımı da dahil olmak üzere virüs bulaşmış makinelerdeki kötü amaçlı kodlar için bir dağıtım merkezi görevi gören genel amaçlı bir İsviçre Çakısı’na dönüştü.
QakBot aracılığıyla yayılan başlıca fidye yazılımı ailelerinden bazıları Conti, ProLock, Egregor, REvil, MegaCortex ve Black Basta’dır. QakBot yöneticilerinin, Ekim 2021 ile Nisan 2023 arasında kurbanlardan fidye olarak yaklaşık 58 milyon dolar tutarında ücret aldıkları söyleniyor.
Birleşik Krallık Ulusal Suç Ajansı’nın (NCA) siber istihbarat başkanı Will Lyne, yaptığı açıklamada, “QakBot, fidye yazılımı saldırılarını ve diğer ciddi tehditleri kolaylaştıran, siber suç ekosisteminde önemli bir kolaylaştırıcıydı.” dedi.
QakBot’a yönelik karşı saldırı, Emotet’in Ekim 2020’de benzer bir şekilde kaldırılmasının ardından geldi ve o zamandan beri arka uç altyapısında yaşanan büyük bir kesintinin ardından yeniden ortaya çıktı.
Tipik olarak kimlik avı e-postaları yoluyla dağıtılan modüler kötü amaçlı yazılım, aynı zamanda komut yürütme ve bilgi toplama yetenekleriyle donatılmış olarak gelir. Ömrü boyunca sürekli güncellemeler gördü; aktörlerin (kod adı Gold Lagoon veya Mallard Spider) spam kampanyalarına devam etmeden önce her yaz uzun aralar verdikleri biliniyor.
DoJ, “QakBot kötü amaçlı yazılımının bulaştığı kurban bilgisayarları, bir botnet’in (güvenliği ihlal edilmiş bilgisayarlardan oluşan bir ağ) parçası, bu da faillerin virüs bulaşmış tüm bilgisayarları koordineli bir şekilde uzaktan kontrol edebileceği anlamına geliyor.” dedi.
Mahkeme belgelerine göre ortak çaba, QakBot altyapısına erişim sağladı ve böylece botnet trafiğinin ABD Federal Soruşturma Bürosu (FBI) tarafından kontrol edilen sunuculara ve bu sunucular aracılığıyla yönlendirilmesini mümkün kıldı ve nihai hedef “geniş kapsamlı” saldırıları etkisiz hale getirmekti. suç teşkil eden tedarik zinciri.”
Özellikle sunucular, güvenliği ihlal edilmiş uç noktalara, makinelerin QakBot botnet’inden ayrılması için tasarlanmış bir kaldırma dosyası indirmeleri talimatını vererek, ek yüklerin teslim edilmesini etkili bir şekilde önledi.
Secureworks Karşı Tehdit Birimi (CTU), 25 Ağustos 2023’te “ana makinede çalışan QakBot işlemini temiz bir şekilde sonlandırabilen kod içeren özel bir DLL (dinamik bağlantı kitaplığı) yürütülebilir dosyasının paketini açan” botnet’in kabuk kodunu virüslü cihazlara dağıttığını tespit ettiğini söyledi. ” bir QPCMD_BOT_SHUTDOWN komutu aracılığıyla.
“Kurbanlar [in the U.S.] FBI Direktörü Christopher Wray, “Doğu Yakası’ndaki finansal kuruluşlardan, Ortabatı’daki kritik altyapı hükümet yüklenicisine, Batı Yakası’ndaki tıbbi cihaz üreticisine kadar geniş bir yelpazede yer alıyor” dedi.
QakBot, yeni güvenlik korkuluklarına yanıt olarak taktiklerini hızla değiştirerek, zaman içinde daha yüksek düzeyde bir karmaşıklık sergiledi. Örneğin Microsoft, tüm Office uygulamalarında makroları varsayılan olarak devre dışı bıraktıktan sonra, bu yılın başlarında OneNote dosyalarını enfeksiyon vektörü olarak kötüye kullanmaya başladı.
Gelişmişlik ve uyarlanabilirlik, operatörlerin saldırı zincirlerinde çok çeşitli dosya formatlarını (örneğin, PDF, HTML ve ZIP) silah haline getirme becerisinde de açıkça görülmektedir. QakBot’un komuta ve kontrol (C2) sunucularının çoğunluğu ABD, İngiltere, Hindistan, Kanada ve Fransa’da (FR) yoğunlaşmıştır. Arka uç altyapısı Rusya’da bulunmaktadır.
Emotet ve IcedID gibi QakBot da, virüslü bilgisayarlara yüklenen kötü amaçlı yazılımları kontrol etmek ve bunlarla iletişim kurmak için üç katmanlı bir sunucu sistemi kullanıyor. Tier 1 ve Tier 2 sunucularının temel amacı, QakBot bulaşmış bilgisayarlar ile botnet’i kontrol eden Tier 3 sunucusu arasında şifrelenmiş veriler içeren iletişimleri iletmektir.
Zscaler araştırmacıları, Temmuz 2023’ün sonlarında yayınlanan kapsamlı bir analizde “QakBot, stratejik olarak farklı ülkelerdeki işletmeleri hedef alan son derece karmaşık bir bankacılık trojan kötü amaçlı yazılımıdır” dedi.
“Bu yakalanması zor tehdit, saldırı zincirinde çok sayıda dosya formatı ve gizleme yöntemi kullanıyor ve bu da onun geleneksel antivirüs motorlarının tespitinden kaçmasına olanak tanıyor. Çeşitli saldırı zincirleri ile yaptığı deneyler sayesinde, QakBot’un arkasındaki tehdit aktörünün stratejilerini sürekli olarak geliştirdiği açıkça ortaya çıkıyor.”
QakBot aynı zamanda HP Wolf Security’ye göre 2023’ün ikinci çeyreğinde en aktif kötü amaçlı yazılım ailelerinden biri oldu; 18’e kadar benzersiz saldırı zincirinden yararlandı ve zaman dilimi içinde 56 saldırı gerçekleştirerek e-suç grubunun “hızlı bir şekilde” eğiliminin altını çizdi. ağ savunmalarındaki boşluklardan faydalanmak için zanaatkarlıklarına izin veriyorlar.”