QBot kötü amaçlı yazılımı artık Windows aygıtlarına bulaşmak için PDF’ler ve Windows Komut Dosyaları (WSF) kullanan kimlik avı kampanyalarında dağıtılmaktadır.
Qbot (namı diğer QakBot), diğer tehdit aktörleri için kurumsal ağlara ilk erişim sağlayan kötü amaçlı yazılıma dönüşen eski bir bankacılık truva atıdır. Bu ilk erişim, Cobalt Strike, Brute Ratel ve diğer tehdit aktörlerinin güvenliği ihlal edilmiş cihaza erişmesine izin veren diğer kötü amaçlı yazılımlar gibi ek yükler bırakılarak yapılır.
Tehdit aktörleri bu erişimi kullanarak bir ağ üzerinden yanal olarak yayılarak verileri çalıyor ve sonunda şantaj saldırılarında fidye yazılımı dağıtıyor.
Bu aydan itibaren, güvenlik araştırmacısı ProxyLife ve Cryptolaemus grubunun sahip olduğu kronikleşiyor Qbot’un yeni bir e-posta dağıtım yöntemi kullanması — Qbot’u kurbanın cihazlarına yüklemek için Windows Komut Dosyalarını indiren PDF ekleri.
Bir e-posta ile başlar
QBot şu anda, tehdit aktörleri çalıntı e-posta alışverişlerini kullandığında ve ardından bunlara kötü amaçlı yazılım veya kötü amaçlı eklerin bağlantılarıyla yanıt verdiğinde, yanıt zinciri kimlik avı e-postaları yoluyla dağıtılıyor.
Yanıt zinciri e-postalarının kullanılması, bir kimlik avı e-postasını devam eden bir sohbete yanıt olarak daha az şüpheli hale getirme girişimidir.
Kimlik avı e-postaları, bunu dünya çapında bir kötü amaçlı yazılım dağıtım kampanyası olarak işaretleyen çeşitli diller kullanır.
Kaynak: BleepingComputer
Bu e-postalara ekli ‘İptal Mektubu’ adlı bir PDF dosyasıdır.[number].pdf’, açıldığında “Bu belge korumalı dosyalar içeriyor, onları görüntülemek için” aç “düğmesine tıklayın” şeklinde bir mesaj görüntüler.
Ancak butona tıklandığında bunun yerine Windows Script (wsf) dosyası içeren bir ZIP dosyası indirilecektir.
Kaynak: BleepingComputer
Bir Windows Komut Dosyası Dosyası, bir .wsf uzantısıyla sona erer ve dosya çift tıklandığında yürütülen JScript ve VBScript kodunun bir karışımını içerebilir.
QBot kötü amaçlı yazılım dağıtım kampanyasında kullanılan WSF dosyası, bilgisayarda bir PowerShell betiği yürütme nihai hedefiyle büyük ölçüde gizlenmiştir.
Kaynak: BleepingComputer
WSF dosyası tarafından yürütülen PowerShell betiği, bir URL listesinden bir DLL indirmeye çalışır. Dosya %TEMP% klasörüne başarıyla indirilene ve yürütülene kadar her URL denenir.
Kaynak: BleepingComputer
QBot DLL yürütüldüğünde, internet bağlantısı olup olmadığını belirlemek için PING komutunu çalıştıracaktır. Kötü amaçlı yazılım daha sonra, arka planda sessizce çalışacağı yasal Windows wermgr.exe (Windows Hata Yöneticisi) programına kendini enjekte eder.
Kaynak: BleepingComputer
QBot kötü amaçlı yazılım bulaşmaları, kurumsal ağlarda yıkıcı saldırılara yol açarak kötü amaçlı yazılımın nasıl dağıtıldığını anlamayı hayati hale getirebilir.
BlackBasta, REvil, PwndLocker, Egregor, ProLock ve MegaCortex dahil olmak üzere birden çok Hizmet Olarak Fidye Yazılımı (RaaS) operasyonuyla bağlantılı fidye yazılımı bağlı kuruluşları, kurumsal ağlara ilk erişim için Qbot’u kullandı.
The DFIR Report’taki araştırmacılar, QBot’un ilk bulaşmadan sonra hassas verileri çalmasının yalnızca yaklaşık 30 dakika sürdüğünü gösterdi. Daha da kötüsü, kötü amaçlı etkinliğin bitişik iş istasyonlarına yayılması yalnızca bir saat sürer.
Bu nedenle, bir cihaza QBot bulaşırsa, sistemi mümkün olan en kısa sürede çevrimdışı duruma getirmek ve olağandışı davranış için ağın eksiksiz bir değerlendirmesini yapmak çok önemlidir.