Yeni bir kimlik avı mesajı dalgası dağıtılıyor QakBot kolluk kuvvetlerinin komuta ve kontrol (C2) ağına sızarak altyapısının parçalandığını görmesinden üç aydan fazla bir süre sonra kötü amaçlı yazılım gözlemlendi.
Keşfi yapan Microsoft, bunu 11 Aralık 2023’te başlayan ve konaklama sektörünü hedef alan düşük hacimli bir kampanya olarak tanımladı.
Teknoloji devi “Hedefler, IRS çalışanı gibi davranan bir kullanıcıdan PDF aldı” söz konusu X’te (eski adıyla Twitter) paylaşılan bir dizi gönderide.
“PDF, dijital olarak imzalanmış bir Windows Installer’ı (.msi) indiren bir URL içeriyordu. MSI’nın çalıştırılması, Qakbot’un gömülü bir DLL dosyasının dışa aktarma ‘hvsi’ yürütmesi kullanılarak çağrılmasına yol açtı.”
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Şimdi Katıl
Microsoft, yükün kampanyanın başladığı gün oluşturulduğunu ve daha önce görülmemiş 0x500 sürümüyle yapılandırıldığını söyledi.
QBot ve Pinkslipbot olarak da adlandırılan QakBot, yetkililerin altyapısına erişmeyi başarması ve virüslü bilgisayarlara kötü amaçlı yazılımı etkisiz hale getirmek için bir kaldırma dosyası indirmeleri talimatını vermesinin ardından Duck Hunt Operasyonu adı verilen koordineli bir çabanın parçası olarak kesintiye uğradı.
Geleneksel olarak kötü amaçlı ekler veya köprüler içeren spam e-posta mesajları aracılığıyla dağıtılan QakBot, hassas bilgileri toplamanın yanı sıra fidye yazılımı da dahil olmak üzere ek kötü amaçlı yazılımlar sunma yeteneğine sahiptir.
Ekim 2023’te Cisco Talos, QakBot bağlı kuruluşlarının fidye yazılımı, uzaktan erişim truva atları ve hırsız kötü amaçlı yazılımların bir karışımını sunmak için kimlik avı tuzaklarından yararlandığını ortaya çıkardı.
QakBot’un geri dönüşü, kolluk kuvvetleri tarafından dağıtıldıktan sonra 2021 aylarının sonlarında yeniden ortaya çıkan ve daha düşük bir seviyede de olsa kalıcı bir tehdit olarak kalan Emotet’in geri dönüşünü yansıtıyor.
Kötü amaçlı yazılımın eski ihtişamına dönüp dönmeyeceği henüz belli olmasa da, bu tür botnet’lerin dayanıklılığı, kuruluşların Emotet ve QakBot kampanyalarında kullanılan spam e-postaların kurbanı olmaktan kaçınmaları gerektiğinin altını çiziyor.