İngilizce, Almanca, İtalyanca ve Fransızca da dahil olmak üzere çeşitli dillerde yazılmış kötü amaçlı e-postalar yoluyla yayılan QBot Truva Atı saldırılarında yakın zamanda bir artış gözlemlendi. E-postalar, saldırganlar tarafından elde edilen gerçek iş mektupları kullanılarak hazırlanır ve alıcıyı, kötü niyetliliğinin güvenlik araçları tarafından daha az algılanabilir hale getiren birkaç gizleme katmanı içeren ekli bir PDF dosyasını açmaya teşvik eder.
Kaspersky tarafından bu hafta yapılan bir analize göre kampanya, yakında kurban olacak kişilerin kötü niyetli olarak işaretlenmesini zorlaştırmak için yanıt zinciri e-postalarını kullanma yöntemini de kullanıyor. Adından da anlaşılacağı gibi, yanıt zinciri, bir liste sunucusundan (veya herhangi bir konumdan) mevcut e-posta alışverişlerine erişme ve bunları yanıtlayarak, iç içe geçen iletilerin yasal, daha az şüpheli ve inandırıcı görünmesini sağlama uygulamasıdır.
Kampanya, diğer siber suçluların zaten ele geçirilmiş hedeflere bir dizi ikinci aşama kötü amaçlı yazılım dağıtmak için kullandıkları bir hizmet olarak erişim teklifini sürdüren QBot operatörleri (diğer adıyla QakBot veya Pinkslipbot) için bir taktik değişikliğini temsil ediyor. İlk olarak 2007’de keşfedilen QBot, yıllar içinde çok sayıda değişiklik ve geliştirme geçirdi ve bu da 2020’de en aktif şekilde yayılan kötü amaçlı yazılım türlerinden biri olarak yaygın bir şekilde dağıtılmasına neden oldu.
Güvenlik araştırmacılarına göre bu son iyileştirmeler gizliliği ve meşruiyeti artırmaya yardımcı oluyor. Örneğin, e-postalar, çalınan belgelerin yalnızca küçük bir bölümünü değiştirmek için hazırlanmış; kötü amaçlı sitelere bağlantılar içeren bağlantılar veya ekler içerebilirler.
Kaspersky raporunda, “Mesajlar, saldırganların eriştiği gerçek iş mektuplarına dayanıyordu ve bu da onlara yazışma dizisine kendi mesajlarıyla katılma fırsatı veriyordu.”
QBot’un Birçok Gizleme Katmanı
Saldırı akışına gelince, PDF dosyası, Base64 satırına kodlanmış gizlenmiş bir PowerShell betiğini barındıran bir Windows Betik Dosyası (WSF) içerir. PowerShell betiği bilgisayarda gizlice çalıştırıldıktan sonra, uzak bir sunucudan QBot kötü amaçlı yazılımını kurbanın bilgisayarına teslim etmek için kullanılan bir DLL dosyasını almak için wget yardımcı programını kullanır. Bu mevcut bir taktiktir: Geçen yıl, QBot operatörleri kötü amaçlı yazılım dağıtmak için DLL yandan yüklemeyi kullanmaya başladı;
Grup son zamanlarda operasyonlarını hızlandırdı ve tekliflerini iyileştirerek sistemlere bulaştı, saldırı çerçeveleri kurdu ve Black Basta dahil diğer gruplara erişim sattı.
Tanium’un baş güvenlik danışmanı Timothy Morris, “DSF, daha fazla yük indirecek olan algılamadan kaçınmak için gizlenmiştir” diye açıklıyor. “Zincirleme” veya birden fazla adım kullanan saldırı, bazı korumaların aşılmasına yardımcı olur çünkü hain davranışın tüm bağlamı tek bir etkinlik olarak gözlemlenemez.”
İşletmeyi QBot Saldırılarından Nasıl Korursunuz?
Morris, ilk e-postalardan indirilen yüklere, veri hırsızlığına ve hırsızlığa kadar saldırı akışındaki birden fazla aşamanın, savunma için bir dizi siber güvenlik stratejisi gerektirdiğini belirtiyor.
“Son noktada algılama, izleme ve koruma teknolojilerinin yanı sıra güncel Web, ağ ve e-posta güvenliğini içeren derinlemesine bir savunma stratejisine sahip olmak önemlidir” diyor. “Ayrıca, kullanıcıları bu tür tehditlere karşı eğitmek de önemlidir.”
Keeper Security’nin CEO’su ve kurucu ortağı Darren Guccione, potansiyel hedeflerin, rastgele işletmelerden veya devletten geliyormuş gibi görünen kimlik avı girişimlerinin aksine, kötü amaçlı yazılım içeren kötü amaçlı dosyanın sizin ‘ ile geçmiş e-posta görüşmeleri yaptınız.
“Tehdit aktörleri, bu kişilerin dosyaları indirmesini sağlamak için ilişkinize ve güven düzeyinize güvenmeyi umuyor,” diye açıklıyor. “Çalışanlar riskli tıklamalardan kaçınmalıdır. Şüpheli linklere tıklanmamalı ve güvenilir olmayan yazılımlar kurulmamalıdır.”
Diğer e-posta güvenliği en iyi uygulamaları, ekleri indirmeden önce e-posta göndereni ve içeriği doğrulamayı ve gerçek hedef URL’yi görmek için katıştırılmış bağlantıların üzerine gelmeyi içerir. Ayrıca savunucular, virüsten koruma ve kötü amaçlı yazılımdan koruma çözümlerinin dağıtıldığından ve güncel olduğundan ve PC’ler, sunucular, yönlendiriciler vb.
Guccione, eklenen yeni modüller ve kaçırma teknikleriyle birlikte QBot’un en son yeniden canlanmasının, kötü amaçlı yazılımın aktif olarak geliştirildiğini gösterdiğini, bu nedenle şirketlerin en son değişikliklere hazırlıklı olma konusunda tetikte olması gerektiğini söylüyor.
Guccione, “Savunmacıların koruması gereken çok yetenekli bir düşman aracı,” diye açıklıyor.