Les opérateurs de logiciels malveillants QakBot amplifient la menace avec l'ajout de 15 nouveaux serveurs C2
Dans un développement récent, le groupe à l'origine du logiciel malveillant QakBot (également connu sous le nom de QBot) a établi un nouveau réseau de 15 serveurs de commande et de contrôle (C2) d'ici la fin juin 2023. Cette observation s'appuie sur l'enquête en cours sur le logiciel malveillant. infrastructure menée par l'équipe Cymru. Remarquablement, cette expansion suit de près une révélation de Lumen Black Lotus Labs, qui a révélé qu'un quart de ses serveurs C2 restent opérationnels pendant une seule journée, mettant en lumière la nature dynamique et insaisissable des opérations de QakBot .
QakBot présente traditionnellement un modèle de temps d'arrêt prolongé pendant les mois d'été, refaisant généralement surface en septembre. Au cours de l'année en cours, ses opérations de spam se sont arrêtées approximativement le 22 juin 2023, selon la société de cybersécurité. Cependant, il reste à voir si les opérateurs QakBot utilisent ce temps d'arrêt comme des vacances ou l'utilisent pour affiner et mettre à jour leur infrastructure et leurs outils.
Table des matières
Déployer une infrastructure exquise
Semblable aux architectures observées dans les logiciels malveillants Emotet et I cedID , le réseau Command-and-Control (C2) de QakBot présente une structure à plusieurs niveaux. Dans le cadre de cet arrangement, les nœuds C2 communiquent avec des nœuds C2 de niveau 2 (T2) de niveau supérieur hébergés sur des fournisseurs de serveurs privés virtuels (VPS) en Russie. La plupart des serveurs bot C2, qui communiquent avec les hôtes victimes compromis, se trouvent principalement aux États-Unis et en Inde. L'analyse des connexions sortantes des nœuds T2 révèle que les adresses IP de destination se trouvent aux États-Unis, en Inde, au Mexique et au Venezuela. Aux côtés des nœuds C2 et T2, un serveur BackConnect (BC) transforme les bots compromis en proxys, leur permettant de servir diverses activités malveillantes. Cette architecture réseau complexe souligne les efforts de QakBot pour orchestrer ses opérations sur plusieurs sites géographiques, améliorant ainsi sa capacité à gérer et contrôler efficacement les systèmes infectés.
Les nœuds C2 de niveau 2, dans le contexte des cybermenaces et des logiciels malveillants, font référence au niveau intermédiaire de l'infrastructure de commande et de contrôle au sein d'une architecture à plusieurs niveaux. Les souches de logiciels malveillants sophistiqués comme QakBot, Emotet et IcedID utilisent souvent cette architecture. Les nœuds C2 de niveau 2 sont des intermédiaires entre les principaux serveurs de commande et de contrôle (niveau 1) et les appareils ou robots compromis (points finaux).
L'objectif des nœuds de niveau 2 est d'améliorer la résilience et la furtivité du réseau de communication du logiciel malveillant. Ils aident à distribuer les commandes et les signaux de contrôle des serveurs centraux C2 à un réseau de nœuds de niveau 2, qui relaient ensuite ces instructions aux appareils compromis individuels. Cette configuration hiérarchique rend plus difficile pour les analystes de la sécurité de retracer les activités malveillantes jusqu'aux principaux serveurs C2, augmentant ainsi les chances des logiciels malveillants d'échapper à la détection et aux suppressions.
Les nœuds C2 de niveau 2 communiquent souvent avec les appareils compromis à l'aide de diverses techniques, telles que des algorithmes de génération de domaine ou des réseaux à flux rapide, ce qui complique davantage les efforts pour bloquer ou désactiver les canaux de communication des logiciels malveillants. Les acteurs de la menace utilisent des nœuds C2 de niveau 2 pour garder le contrôle sur leurs botnets et faciliter l'exécution d'opérations malveillantes tout en minimisant les risques associés à la communication directe entre le serveur central et les appareils infectés.
Serveurs C2 exploités
Les découvertes les plus récentes dévoilées par l'équipe Cymru mettent en évidence une baisse notable du nombre de C2 existants qui interagissent avec la couche T2. Maintenant qu'il n'en reste plus que huit, cette diminution est en partie attribuée aux actions de Black Lotus Labs de routage nul de l'infrastructure de niveau supérieur en mai 2023. La société a observé une réduction substantielle du trafic des C2 indiens et la quasi-disparition des C2 américains vers juin. 2, qu'ils associent au routage nul de la couche T2. En plus des 15 serveurs C2, six serveurs C2 préexistants actifs avant juin et deux serveurs C2 nouvellement activés en juin ont affiché une activité continue tout au long du mois de juillet, même après l'arrêt des activités de spam.
Un examen plus approfondi des données NetFlow montre un schéma récurrent où des connexions T2 sortantes accrues suivent souvent des pics de connexions entrantes de bot C2. De plus, les pics de connexions T2 sortantes coïncident fréquemment avec des baisses d'activité du bot C2. L'équipe Cymru a souligné qu'en employant les victimes comme infrastructure C2 avec communication T2, QakBot impose un double fardeau aux utilisateurs, d'abord par le compromis initial, puis par le préjudice potentiel à leur réputation lorsque leur hôte est publiquement reconnu comme malveillant. La société a souligné qu'en coupant les communications avec les serveurs en amont, les victimes ne peuvent pas recevoir d'instructions C2, protégeant efficacement les utilisateurs actuels et futurs contre toute compromission.
À propos de QakBot
QakBot, également connu sous le nom de QBot, est un cheval de Troie bancaire notoire et un logiciel malveillant de vol d'informations depuis environ 2007. Il cible principalement les systèmes d'exploitation Windows et est conçu pour voler des informations financières sensibles sur des ordinateurs infectés, telles que des identifiants bancaires, des détails de carte de crédit et données personnelles. QakBot provient généralement de pièces jointes malveillantes, de liens ou de sites Web infectés. Une fois installé sur un système, il peut se connecter à des serveurs de commande et de contrôle (C2), permettant aux pirates de contrôler la machine infectée et d'exfiltrer les données volées à distance. QakBot a fait preuve d'un haut niveau de sophistication au fil des ans, faisant constamment évoluer ses techniques pour échapper aux mesures de détection et de sécurité. Il peut également se propager via des partages réseau et exploiter des vulnérabilités pour se propager au sein d'un réseau. Dans l'ensemble, QakBot est une menace importante pour les particuliers et les organisations en raison de sa capacité à voler des informations sensibles et à entraîner potentiellement des pertes financières.
Les opérateurs de logiciels malveillants QakBot amplifient la menace avec l'ajout de 15 nouveaux serveurs C2 captures d'écran
