Siber Suç, Uç Nokta Tespiti ve Müdahale (EDR), Dolandırıcılık Yönetimi ve Siber Suç
Qakbot, Yayından Kaldırıldıktan Sonra Geri Gelen İlk Truva Atı Olmayacak
Akşaya Asokan (asokan_akshaya) •
13 Şubat 2024
Siber uzayda yayından kaldırma işlemleri her zaman sonsuza kadar sürmez. ABD kolluk kuvvetlerinin kötü şöhretli Qakbot botnet’ini ortadan kaldırmasından aylar sonra, güvenlik araştırmacıları işaretlerin yeniden canlanmaya işaret ettiğini söylüyor.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Sophos’tan araştırmacılar sosyal medyada, Qakbot’un (Qbot olarak da bilinir) kaynak koduna erişimi olan birinin yeni yapılar üzerinde deneyler yaptığını ve artan değişiklikler yaptığını söyledi.
Kötü amaçlı yazılım analistleri, yeni Qakbot örneklerini ilk kez Aralık ortasında, yani Microsoft Tehdit İstihbaratının devreye girdiği dönemde tespit ettiklerini söyledi. tweet attı Truva Atı’nı çağıran bir indiriciyi içeren, ABD Gelir İdaresi’nden olduğu iddia edilen bir PDF aracılığıyla konaklama sektörünü hedef alan düşük hacimli bir kampanya bulduğunu söyledi.
Ağustos ayındaki yayından kaldırılma sırasında Qakbot, dünyanın en uzun süredir devam eden botnet’lerinden biriydi ve yüz milyonlarca dolarlık kayba neden olmuştu. “Ördek Avı” adı verilen bir operasyonun parçası olarak yetkililer, kötü amaçlı yazılımları sistem belleğinden çıkarmak için 700.000’den fazla Qakbot bulaşmış uç noktaya bir temizleme aracı gönderdi.
Kötü amaçlı yazılım 2008 yılında bir bankacılık Truva Atı olarak şekillenmiş olsa da, operatörleri yıllar içinde diğer siber suçlular için ilk erişim aracısı haline gelecek şekilde gelişti. Rusça konuşan fidye yazılımı operasyonları da dahil olmak üzere suç çetelerine erişimi sattılar (bkz: ‘Ördek Avı’ Operasyonu Qakbot’u Parçaladı).
Sophos’un baş araştırmacısı Andrew Brandt, “Muhtemelen Qakbot’un evrimi, yaratıcıları cezai kovuşturmayla karşı karşıya kalana kadar devam edecek” dedi. Pek çok siber suç hizmet sağlayıcısı, vatandaşlarını iade etmeyen Rusya’dan faaliyet gösteriyor. “İyi haber şu ki: Şimdilik bu yeni Qakbot varyantlarının, uç nokta algılama yazılımında önceden oluşturulan imzalarla tespit edilmesi ve engellenmesi kolaydır.”
Cisco Talos’tan araştırmacılar Ekim ayı başlarında Qakbot’tan gelen kimlik avı mesajlarını tespit etti; bu da Duck Hunt’ın Qakbot operatörlerinin spam dağıtım altyapısını etkilememiş olabileceğini gösteriyor.
Kötü amaçlı yazılımın yeni yetenekleri arasında dizeleri gizlemek ve komuta ve kontrol sunucusuyla iletişim kurmak için geliştirilmiş şifreleme yer alıyor. Artık bir sanal makine içinde çalışıp çalışmadığını da kontrol ediyor ve eğer bir sonsuz döngü tespit ederse sonsuz döngüye giriyor. Kötü amaçlı yazılımın önceki nesilleri bu özelliğe sahipti ancak operatörler bunu kaldırmıştı.
Yeni varyant geliştirme aşamasında gibi görünüyor ve kötü amaçlı yazılım yazarları hareket halindeyken daha fazla özellik ekliyor.
Qakbot’un ölümden dönen ilk büyük Truva atı olması pek mümkün değil. TrickBot ve Emotet operatörleri, daha sonraki tekrarlamaları daha az korkutucu olmasına rağmen altyapının kaldırılmasından sonra toparlandı (bkz.: Siber Suç Sarsıntıları: Uzmanlar Qakbot’un Yeniden Dirilişini Tahmin Ediyor).