2023 yazında çok uluslu bir emniyet teşkilatı operasyonuyla altyapısı ele geçirilip parçalanmış olmasına rağmen, dünyanın en tehlikeli fidye yazılımı ekiplerinden bazılarının uzaktan erişim truva atı (RAT) olarak kullandığı Qakbot kötü amaçlı yazılımı, bir kez daha aktif olarak geliştirilme aşamasında görünüyor. Sophos araştırmacılarından yeni istihbarat.
2000’li yılların sonlarında ortaya çıkan Qakbot, yeraltı siber suçlularının kullanabileceği en köklü ve popüler araçlardan biriydi ve ömrü boyunca bankacılık truva atı ve kimlik bilgisi hırsızlığı da dahil olmak üzere birçok farklı şekilde kullanıldı.
Geçtiğimiz yıl Ördek Avı Operasyonu’ndaki düşüş, ABD’nin FBI’ının altyapıya erişim sağlamasına ve kötü amaçlı yazılımı kaldırmak için bir dosya dağıtmak üzere onu altüst etmesine neden oldu. Federal ajanlar ayrıca milyonlarca dolar değerinde yasa dışı kripto varlığına da el koydu.
Ancak Ördek Avı Operasyonu büyük bir zafer olarak selamlansa da siber güvenlik uzmanları, operasyonun arkasındaki tehdit aktörlerinin hâlâ serbest olduğuna dikkat çekerek kutlamaları yumuşattı.
Lumu Technologies’in kurucusu ve CEO’su Ricado Villadiego, Computer Weekly’de şunları söyledi: “Qbot ve Emotet gibi botnet’ler, benzer ancak daha küçük operasyonları takip etmeden önce dirençli olduklarını kanıtladılar ve bunun, öldürücü bir darbe olup olmadığı henüz bilinmiyor. Qakbot.”
Şimdi Sophos X-Ops araştırma ekibi, Aralık 2023’te ortaya çıkan Qakbot kötü amaçlı yazılımının yeni bir varyantının örneklerini analiz ettiğini söylüyor.
Sophos X-Ops şöyle konuştu: “Qakbot botnet altyapısının ortadan kaldırılması bir zaferdi, ancak botun yaratıcıları hâlâ özgür ve Qakbot’un orijinal kaynak koduna erişimi olan biri yeni yapılar üzerinde deneyler yapıyor ve bu en yeni varyantlarla suları test ediyor.” baş araştırmacı Andrew Brandt.
Araştırma ekibi, diğer şeylerin yanı sıra, Qakbot operatörlerinin, kötü amaçlı yazılımın şifrelemesini güçlendirmek için “ortak çabalar” sergilediğini, bunun da savunucuların ve araştırmacıların kaynak kodunu analiz etmesini zorlaştırdığını söyledi.
Ayrıca geliştiricilerin artık kötü amaçlı yazılım ile komuta ve kontrol (C2) sunucusu arasındaki tüm iletişimi eskisinden çok daha güçlü bir yöntem kullanarak şifreledikleri ve Qakbot’un sanal ortamda veya sanal alanda çalışmasını engelleyen bir özelliği yeniden sunduklarına dair kanıtlar buldular. – analize meydan okuyan başka bir teknik.
“Muhtemelen Qakbot’un evrimi, yaratıcıları cezai kovuşturmayla karşı karşıya kalana kadar devam edecek. İyi haber şu ki, şimdilik bu yeni Qakbot varyantlarının tespit edilmesi ve uç nokta tespit yazılımında önceden oluşturulan imzalarla engellenmesi kolay,” diyen Brandt, Computer Weekly’ye e-postayla gönderilen yorumlarında söyledi.
Brandt, şu ana kadar yeni Qakbot’un yalnızca birkaç örneği ortaya çıkmış olsa da, botnet’in bir noktada o kadar büyük olduğunu ve o kadar yaygın kullanıldığını, dolayısıyla birisinin onu yeniden canlandırmaya çalıştığını düşündüren her türlü faaliyetin yakın takip gerektirdiğini söyledi.
Sophos X-Ops ekibi, Mastodon aracılığıyla yükseltilmiş şifreleme yeteneklerine daha derinlemesine bir bakış da dahil olmak üzere yeni Qakbot üzerindeki çalışmalarının ayrıntılarını yayınladı.