Podrobnosti spoločnosti Microsoft o stavebných blokoch široko aktívneho bankového trójskeho koňa Qakbot

Infekčné reťazce spojené s viacúčelovým malvérom Qakbot boli rozdelené do „odlišných stavebných blokov“, čo je snaha, o ktorej Microsoft povedal, že pomôže proaktívne odhaliť a zablokovať hrozbu účinným spôsobom.

Dabovaný tím Microsoft 365 Defender Threat Intelligence Team Qakbot “prispôsobiteľný chameleón, ktorý sa prispôsobuje potrebám viacerých skupín aktérov hrozieb, ktoré ho využívajú.”

Predpokladá sa, že Qakbot vytvoril finančne motivovanú skupinu kyberzločincov známu ako Gold Lagoon. Ide o rozšírený malvér kradnúci informácie, ktorý sa v posledných rokoch stal predchodcom mnohých kritických a rozšírených ransomvérových útokov a ponúka inštaláciu malvéru ako službu, ktorá umožňuje množstvo kampaní.

Modulárny malvér, ktorý bol prvýkrát objavený v roku 2007, ako napríklad TrickBot, sa vyvinul zo svojich raných koreňov ako bankový trójsky kôň, aby sa stal švajčiarskym armádnym nožom schopným exfiltrácie údajov a fungujúcim ako mechanizmus doručovania pre druhú fázu užitočného zaťaženia vrátane ransomvéru. Pozoruhodná je aj jeho taktika únosu legitímnych e-mailových vlákien obetí z klientov programu Outlook prostredníctvom komponentu Email Collector a používania týchto vlákien ako návnad na phishing na infikovanie iných počítačov.

„Kompromitovanie služieb IMAP a poskytovateľov e-mailových služieb (ESP) alebo únos e-mailových vlákien umožňuje útočníkom využiť dôveru, ktorú má potenciálna obeť v ľudí, s ktorými si predtým dopisovali, a tiež umožňuje vydávať sa za kompromitovanú organizáciu,“ výskumníci Trend Micro. Ian Kenefick a Vladimir Kropotov podrobne informovali minulý mesiac. “Naozaj, zamýšľané ciele budú oveľa pravdepodobnejšie otvárať e-maily od uznávaného odosielateľa.”

Aktivita Qakbot sledovaná firmou zaoberajúcou sa kybernetickou bezpečnosťou počas siedmich mesiacov od 25. marca 2021 do 25. októbra 2021 ukazuje, že USA, Japonsko, Nemecko, India, Taiwan, Taliansko, Južná Kórea, Turecko, Španielsko a Francúzsko sú hlavné cieľové krajiny, pričom prieniky zasiahli predovšetkým sektory telekomunikácií, technológií a vzdelávania.

Nedávno spamové kampane vyústili do nasadenia nového zavádzača s názvom SQUIRRELWAFFLE, ktorý útočníkom umožňuje získať počiatočnú oporu v podnikových sieťach a na infikovaných systémoch púšťať škodlivé zaťaženie, ako sú Qakbot a Cobalt Strike.

Teraz podľa Microsoftu útočné reťazce zahŕňajúce Qakbot pozostávajú z niekoľkých stavebných blokov, ktoré mapujú rôzne štádiá kompromisu, priamo od metód prijatých na distribúciu malvéru – odkazov, príloh alebo vložených obrázkov – pred vykonaním celého radu následných exploatácií. činnosti, ako je krádež poverení, exfiltrácia e-mailov, pohyb do strán a nasadenie majákov Cobalt Strike a ransomvéru.

Spoločnosť so sídlom v Redmonde poznamenala, že e-maily súvisiace s Qakbotom odosielané útočníkmi môžu niekedy obsahovať prílohu archívneho súboru ZIP, ktorý obsahuje tabuľku obsahujúcu Excel. 4.0 makrá, počiatočný prístupový vektor, ktorý je široko zneužívaný pri phishingových útokoch. Bez ohľadu na mechanizmus použitý na doručovanie malvéru majú kampane spoločné používanie škodlivého Excelu 4.0 makrá.

Zatiaľ čo makrá sú v balíku Microsoft Office predvolene vypnuté, príjemcovia e-mailových správ sú vyzvaní, aby makra povolili zobrazenie skutočného obsahu dokumentu. Toto spustí ďalšiu fázu útoku na stiahnutie škodlivých dát z jednej alebo viacerých domén kontrolovaných útočníkmi.

Qakbot je častejšie len prvým krokom v tom, čo je súčasťou väčšieho útoku, pričom aktéri hrozby využívajú počiatočnú oporu uľahčenú malvérom, aby si nainštalovali ďalšie užitočné zaťaženie alebo predali prístup tomu, kto ponúka najvyššiu ponuku na podzemných fórach, ktoré potom môžu využiť. to pre ich vlastné ciele. V júni 2021 podniková bezpečnostná spoločnosť Proofpoint odhalila, ako aktéri ransomvéru čoraz viac prechádzajú od používania e-mailových správ ako cesty prieniku k nákupu prístupu od kyberzločineckých podnikov, ktoré už infiltrovali veľké subjekty.

„Modularita a flexibilita Qakbotu by mohla predstavovať výzvu pre bezpečnostných analytikov a obrancov, pretože súbežné kampane Qakbot môžu na každom postihnutom zariadení vyzerať výrazne odlišne, čo výrazne ovplyvňuje, ako títo obrancovia reagujú na takéto útoky,“ uviedli vedci. “Hlbšie pochopenie Qakbotu je preto prvoradé pri budovaní komplexnej a koordinovanej obrannej stratégie proti nemu.”