Kötü amaçlı yazılımdan kötü amaçlı yazılıma/fidye yazılımına dönüşen bankacılık dağıtım ağı olan Qakbot (namı diğer Qbot) ilk olarak 2007’de gözlemlendi ve bugüne kadar etkin.
Bu tehdidin asla bitmeyen uyarlanabilirliği, uzun vadeli hayatta kalması ve başarısının anahtarıdır.
Lumen’in Black Lotus Labs araştırmacıları Chris Formosa ve Steve Rudd, “Qakbot operatörleri, spam saldırılarını sezonluk olarak uzun süreler boyunca azaltma veya durdurma eğiliminde, değiştirilmiş bir araç takımıyla faaliyete geri dönüyor” dedi.
Yayılan Qakbot
Qakbot, öncelikle e-posta ele geçirme ve sosyal mühendislik taktikleri yoluyla yayılır.
Hedef makinelerde varlığını güvenceye aldıktan sonra kullanıcı kimlik bilgilerini çalar, arka kapılar kurar ve diğer siber suçluların bu makinelere yetkisiz erişimini sağlar. Windows ana bilgisayarlarına ek kötü amaçlı yazılım ve fidye yazılımı sağlamasıyla bilinir.
Araştırmacılar, “Qakbot, sıkılaşan güvenlik politikalarının ve gelişen savunmaların önünde kalmak için ilk giriş araçlarını değiştiriyor” dedi.
Daha önce erişim elde etmek için Microsoft Office belgelerinden yararlanıyordu, ancak Microsoft internetten dosyalardaki makroları engelleyeceğini duyurduğunda, kötü amaçlı OneNote dosyalarını, Web İşareti kaçırma ve HTML kaçakçılığı tekniklerini kullanmaya başladı.
Sürekli değişen bir C2 sunucu havuzu
Qakbot operatörleri, kötü amaçlı yazılım dağıtım yöntemlerini değiştirmenin yanı sıra, C2 altyapılarını her zaman çalışır durumda tutmak ve güvenlik çözümlerinden kaçınmak için zarif bir numara kullanıyor.
Qakbot, kurban makineleri C2’lere dönüştürerek dayanıklılığı korur. Araştırmacılar, C2’lerin %25’inden fazlasının bir günden fazla aktif kalmadığını ve %50’sinin bir haftadan fazla aktif kalmadığını gözlemledi.
Qakbot’la savaşmak
Kurumsal makinelere Qakbot/Qbot alma riskini azaltmak için savunucular, çalışanlar için düzenli olarak kimlik avı ve sosyal mühendislik eğitimi vererek e-posta kaynaklı saldırılara karşı korumaları güçlendirmeye odaklanmalıdır.
Araştırmacılar ayrıca ağ kaynaklarının tam olarak izlenmesinin ve uygun yama yönetiminin sağlanmasının önemini vurgulamaktadır.