Ağustos 2023’ün başlarında başlayan amansız bir kampanyada, kötü şöhretli Qakbot kötü amaçlı yazılımıyla ilişkili tehdit aktörleri, hedefli kimlik avı e-postaları yoluyla Ransom Knight fidye yazılımını ve Remcos arka kapısını ısrarla dağıtıyor.
Dikkat çekici bir şekilde, bu faaliyet FBI’ın Ağustos ayı sonlarında Qakbot altyapısını ele geçirmesinden önce başlamış olup, bu da kolluk kuvvetleri operasyonunun komuta ve kontrol (C2) sunucularını etkilemiş olabileceğini ancak spam dağıtım altyapısını etkilememiş olabileceğini göstermektedir.
Qakbot İştirakleri Yeni Qakbot Kötü Amaçlı Yazılım Kampanyasını Başlatıyor
Qakbot bağlı kuruluşlarına atfedilen bu yeni kampanya, Talos tarafından, LNK dosyalarında bulunan ve daha önce “AA” ve “BB” olarak belirtilen Qakbot kampanyalarında gözlemlenen meta verilerle uyumlu olan meta verilerin analizi yoluyla belirlendi.
Altyapının kaldırılması sonrasında Qakbot’un doğrudan dağıtımı gözlemlenmese de potansiyel tehdit devam ediyor. Bunun kökeni, tutuklanmaktan kurtulan geliştiricilerin çalışır durumda kalması ve Qakbot altyapısını yeniden inşa etme olasılığını açık bırakmasıdır.
Ağustos 2023’te FBI’ın da dahil olduğu ortak operasyon, Qakbot’un altyapısını ve kripto para varlıklarını etkili bir şekilde ortadan kaldırdı.
Bu durum, güvenlik sektöründe, Qakbot bağlı kuruluşlarının kalıcı olarak dağılıp dağılmadıkları veya stratejilerini yeniden oluştururken yalnızca geçici bir ara vermeleri gibi uzun vadeli etkiler hakkında spekülasyonlara yol açtı.
Qakbot Kötü Amaçlı Yazılım Kampanyasının Teknik Detayları
Talos, orta derecede bir güvenle, Remcos arka kapısının yanı sıra Cyclops/Ransom Knight fidye yazılımının bir çeşidinin dağıtımını içeren son kampanyalarının da gösterdiği gibi, Qakbot tehdit aktörlerinin aktif kaldığını iddia ediyor.
Bu sonuca, son kampanyada kullanılan LNK dosyalarındaki meta verilerin daha önceki Qakbot kampanyalarında kullanılan makinelere kadar izlenmesiyle ulaşıldı.
Ocak 2023’te Talos, LNK dosyalarındaki meta verileri kullanarak tehdit aktörlerini tanımlamaya ve izlemeye yönelik bir metodolojiyi tanıttı.
Bu metodoloji, “AA” kampanyasında kullanılan bir makineyi “BB” adı altında sonraki kampanyalara başarılı bir şekilde bağladı.
Bu açıklamanın ardından, “AA”, “BB” ve “Obama” kampanyalarıyla ilişkili orijinal Qakbot aktörleri, tespit ve takip çabalarını engellemek için LNK dosyalarındaki meta verileri silmeye başladı.
Ağustos 2023’te Talos, aynı sistemden gelen ve Ransom Knight fidye yazılımını barındıran bir ağ paylaşımına işaret eden yeni LNK dosyaları keşfetti.
Daha ileri araştırmalar, bu dosyaların PowerShell aracılığıyla uzak bir ağ paylaşımına erişim için bir komut başlattığını ve sonuçta Ransom Knight’ı dağıttığını ortaya çıkardı.
Qakbot kötü amaçlı yazılım kampanyalarının destanı
Acil mali konulara işaret eden dosya adlarını içeren bu LNK dosyaları, önceki Qakbot kampanyalarıyla tutarlı olan kimlik avı taktiklerinin göstergesidir.
Bu dosya adlarından bazılarının İtalyanca olması, coğrafi hedefleme stratejisine işaret ediyor. Zip arşivlerinin içine yerleştirilen bu LNK dosyalarına, genellikle Excel eklentileriyle ilişkilendirilen XLL dosyaları eşlik eder.
XLL dosyaları yürütüldükten sonra Remcos arka kapısını dağıtarak tehdit aktörlerinin virüslü sisteme erişmesine izin veriyor. Bu arada LNK dosyası, Cyclops fidye yazılımının gelişmiş bir versiyonunu temsil eden Ransom Knight yükünün uzak bir IP’den indirilmesini kolaylaştırıyor.
Qakbot tehdit aktörlerinin fidye yazılımı hizmetinin yaratıcıları olmasa da bu yasa dışı girişimin müşterileri olduklarını unutmamak önemlidir.
Ağustos 2023’teki FBI operasyonu öncelikle kontrol sunucularını etkileyerek e-posta dağıtım mekanizmalarını etkilemedi.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.