Botnet’in yaz aylarında kolluk kuvvetleri tarafından kesintiye uğratılmasının ardından, QakBot kötü amaçlı yazılımı bir kez daha kimlik avı kampanyalarında dağıtılıyor.
Ağustos ayında, Ördek Avı Operasyonu adı verilen çok uluslu bir emniyet operasyonu, QakBot yöneticisinin sunucularına erişti ve botnet altyapısının haritasını çıkardı.
Kötü amaçlı yazılım iletişimi için kullanılan botnet şifreleme anahtarlarına erişim sağladıktan sonra FBI, özel bir Windows DLL modülünü virüslü cihazlara göndermek için botnet’i ele geçirmeyi başardı. Bu DLL, QakBot kötü amaçlı yazılımını sonlandıran ve botnet’i etkili bir şekilde bozan bir komut yürüttü.
Qbot kötü amaçlı yazılımını dağıtmak için kullanılan bir kimlik avı hizmeti kesintiden bu yana faaliyet gösterse de, yeni kimlik avı kampanyasının başladığı geçtiğimiz Pazartesi gününe kadar QakBot kötü amaçlı yazılımının dağıtımı yapılmamıştı.
QakBot geri dönüyor
Microsoft şimdi uyarı QakBot’un bir IRS çalışanından gelen e-postaymış gibi davranan bir kimlik avı kampanyasıyla yeniden dağıtıldığı.
Microsoft, kimlik avı saldırısını ilk kez 11 Aralık’ta konaklama sektörünü hedef alan küçük bir kampanyada gözlemlediğini açıkladı.
E-postaya eklenen, konuk listesi gibi görünen, “Belge önizlemesi kullanılamıyor” yazan ve kullanıcıdan PDF’yi düzgün bir şekilde görüntülemek için indirmesini isteyen bir PDF dosyasıdır.
Ancak, indirme düğmesine tıklandığında alıcılar, yüklendiğinde Qakbot kötü amaçlı yazılım DLL’sini belleğe başlatan bir MSI indirecektir.
Microsoft, DLL dosyasının kimlik avı kampanyasının başladığı gün olan 11 Aralık’ta oluşturulduğunu ve ‘tchk06’ kampanya kodunu ve 45.138.74.191:443 ile 65.108.218.24:443 komut ve kontrol sunucularını kullandığını söylüyor.
Microsoft, kötü amaçlı yazılımın geliştirilmeye devam ettiğini belirterek, “En önemlisi, teslim edilen Qakbot yükünün daha önce görülmemiş 0x500 sürümüyle yapılandırılmasıydı” diye tweet attı.
Güvenlik araştırmacıları Pim Trouerbach Ve Tommy Madjar Ayrıca dağıtılan Qakbot yükünün bazı küçük değişikliklerle birlikte yeni olduğunu da doğruladık.
Trouerbach, BleepingComputer’a yeni QakBot DLL’sinde, önceki sürümde XOR yerine dizelerin şifresini çözmek için AES’in kullanılması da dahil olmak üzere küçük değişiklikler olduğunu söyledi.
Ayrıca Trouerbach, bazı olağandışı hatalar içerdiğinden yeni sürümün hala geliştirilme aşamasında olduğuna inanıyor.
Trouerbach’ın tweetlediği gibi, Emotet’in 2021’de kolluk kuvvetleri tarafından kesintiye uğratılmasının ardından tehdit aktörleri, çok az başarı elde ederek botnet’lerini yeniden canlandırmaya çalıştı.
Qbot’un eski boyutuna dönmekte sorun yaşayıp yaşamayacağını söylemek için henüz çok erken olsa da yöneticilerin ve kullanıcıların, kötü amaçlı yazılımı dağıtmak için yaygın olarak kullanılan yanıt zinciri kimlik avı e-postalarına karşı dikkatli olmaları gerekiyor.
Qbot kötü amaçlı yazılımı nedir
QakBot, diğer adıyla Qbot, 2008 yılında bir bankacılık truva atı olarak başladı ve kötü amaçlı yazılım geliştiricileri bunu finansal dolandırıcılık yapmak amacıyla bankacılık bilgilerini, web sitesi çerezlerini ve kredi kartlarını çalmak için kullandı.
Zamanla kötü amaçlı yazılım, fidye yazılımı saldırıları, casusluk veya veri hırsızlığı gerçekleştirmek amacıyla ağlara ilk erişimi sağlamak için diğer tehdit aktörleriyle ortaklık kuran bir kötü amaçlı yazılım dağıtım hizmetine dönüştü.
Qakbot, tehdit aktörlerinin çalınan bir e-posta dizisini kullandığı ve ardından buna kendi mesajları ve ekindeki kötü amaçlı bir belgeyle yanıt verdiği yanıt zinciri e-posta saldırıları da dahil olmak üzere çeşitli tuzaklardan yararlanan kimlik avı kampanyaları aracılığıyla dağıtılıyor.
Bu e-postalar genellikle kötü amaçlı belgeleri ek olarak veya kullanıcının cihazına Qakbot kötü amaçlı yazılımını yükleyen kötü amaçlı dosyaları indirmeye yönelik bağlantılar içerir.
Bu belgeler, kimlik avı kampanyaları arasında değişiklik gösterir ve kötü amaçlı makrolar içeren Word veya Excel belgelerinden, gömülü dosyalar içeren OneNote dosyalarından, yürütülebilir dosyalar ve Windows kısayolları içeren ISO eklerine kadar çeşitlilik gösterir. Bazıları ayrıca Windows’taki sıfır gün güvenlik açıklarından yararlanmak üzere tasarlanmıştır.
Kötü amaçlı yazılım, yüklendikten sonra wermgr.exe veya AtBroker.exe gibi meşru bir Windows işlemine bir DLL enjekte edecek ve ek yükleri dağıtırken arka planda sessizce çalışacak.
Geçmişte Qakbot, Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex ve en son olarak Black Basta ve BlackCat/ALPHV dahil olmak üzere çok sayıda fidye yazılımı operasyonuyla ortaklık kurdu.