QakBot-Malware-Betreiber verstärken die Bedrohung mit der Zunahme von 15 neuen C2-Servern
In einer aktuellen Entwicklung hat die Gruppe hinter der Malware QakBot (auch bekannt als QBot) bis Ende Juni 2023 ein neues Netzwerk von 15 Command-and-Control-Servern (C2) aufgebaut. Diese Beobachtung baut auf der laufenden Untersuchung der Malware auf Infrastruktur, durchgeführt vom Team Cymru. Bemerkenswerterweise folgt diese Erweiterung unmittelbar auf eine Enthüllung von Lumen Black Lotus Labs, die bekannt gab, dass ein Viertel seiner C2-Server nur einen einzigen Tag lang in Betrieb bleiben, was ein Licht auf die dynamische und schwer fassbare Natur der Operationen von QakBot wirft.
QakBot weist in den Sommermonaten traditionell ein Muster längerer Ausfallzeiten auf, die typischerweise im September wieder auftauchen. Nach Angaben des Cybersicherheitsunternehmens wurden die Spam-Aktivitäten im laufenden Jahr ungefähr am 22. Juni 2023 eingestellt. Es bleibt jedoch abzuwarten, ob die QakBot-Betreiber diese Ausfallzeit als Urlaub nutzen oder sie zur Verfeinerung und Aktualisierung ihrer Infrastruktur und Tools nutzen.
Inhaltsverzeichnis
Bereitstellung einer hervorragenden Infrastruktur
Ähnlich wie die Architekturen, die bei Emotet- und I cedID -Malware beobachtet wurden, weist das Command-and-Control (C2)-Netzwerk von QakBot eine mehrstufige Struktur auf. Im Rahmen dieser Vereinbarung kommunizieren die C2-Knoten mit höherstufigen Tier-2-C2-Knoten (T2), die bei Anbietern virtueller privater Server (VPS) in Russland gehostet werden. Die meisten Bot-C2-Server, die mit den infizierten Host-Hosts kommunizieren, befinden sich hauptsächlich in den Vereinigten Staaten und Indien. Die Analyse der ausgehenden Verbindungen von T2-Knoten zeigt, dass sich die Ziel-IP-Adressen in den USA, Indien, Mexiko und Venezuela befinden. Neben den C2- und T2-Knoten wandelt ein BackConnect (BC)-Server die kompromittierten Bots in Proxys um, sodass sie verschiedene bösartige Aktivitäten ausführen können. Diese komplexe Netzwerkarchitektur unterstreicht die Bemühungen von QakBot, seine Abläufe über mehrere geografische Standorte hinweg zu orchestrieren und so seine Fähigkeit zu verbessern, infizierte Systeme effektiv zu verwalten und zu kontrollieren.
C2-Knoten der Stufe 2 beziehen sich im Kontext von Cyber-Bedrohungen und Malware auf die mittlere Ebene der Befehls- und Kontrollinfrastruktur innerhalb einer mehrschichtigen Architektur. Hochentwickelte Malware-Stämme wie QakBot, Emotet und IcedID nutzen häufig diese Architektur. C2-Knoten der Stufe 2 sind Vermittler zwischen den wichtigsten Befehls- und Kontrollservern (Stufe 1) und den gefährdeten Geräten oder Bots (Endpunkten).
Der Zweck von Tier-2-Knoten besteht darin, die Widerstandsfähigkeit und Tarnung des Kommunikationsnetzwerks der Malware zu verbessern. Sie helfen dabei, Befehle und Steuersignale von den zentralen C2-Servern an ein Netzwerk von Tier-2-Knoten zu verteilen, die diese Anweisungen dann an die einzelnen gefährdeten Geräte weiterleiten. Dieser hierarchische Aufbau erschwert es Sicherheitsanalysten, die bösartigen Aktivitäten bis zu den Haupt-C2-Servern zurückzuverfolgen, wodurch sich die Chancen der Malware erhöhen, der Erkennung und Beseitigung zu entgehen.
C2-Knoten der Stufe 2 kommunizieren oft über verschiedene Techniken mit den kompromittierten Geräten, wie z. B. Domänengenerierungsalgorithmen oder Fast-Flux-Netzwerke, was die Bemühungen, die Kommunikationskanäle der Malware zu blockieren oder abzuschalten, zusätzlich erschwert. Bedrohungsakteure nutzen Tier-2-C2-Knoten, um die Kontrolle über ihre Botnetze zu behalten und die Ausführung bösartiger Operationen zu erleichtern und gleichzeitig die Risiken zu minimieren, die mit der direkten Kommunikation zwischen dem zentralen Server und den infizierten Geräten verbunden sind.
C2-Server ausgenutzt
Die neuesten vom Team Cymru veröffentlichten Ergebnisse verdeutlichen einen bemerkenswerten Rückgang der Anzahl vorhandener C2s, die mit der T2-Schicht interagieren. Da nun nur noch acht übrig sind, ist dieser Rückgang teilweise auf die Maßnahmen von Black Lotus Labs zurückzuführen, die höherstufige Infrastruktur im Mai 2023 auf Null umzustellen. Das Unternehmen beobachtete einen erheblichen Rückgang des Datenverkehrs von indischen C2s und das nahezu Verschwinden der US-amerikanischen C2s im Juni 2, was sie mit Null-Routing der T2-Schicht in Verbindung bringen. Zusätzlich zu den 15 C2-Servern zeigten sechs bereits vor Juni aktive C2-Server und zwei im Juni neu aktivierte C2-Server den ganzen Juli über anhaltende Aktivität, auch nach der Einstellung der Spam-Aktivitäten.
Eine weitere Untersuchung der NetFlow-Daten zeigt ein wiederkehrendes Muster, bei dem verstärkte ausgehende T2-Verbindungen häufig auf Spitzen bei eingehenden Bot-C2-Verbindungen folgen. Darüber hinaus fallen Anstiege bei ausgehenden T2-Verbindungen häufig mit Einbrüchen in der Bot-C2-Aktivität zusammen. Team Cymru betonte, dass QakBot den Benutzern durch den Einsatz von Opfern als C2-Infrastruktur mit T2-Kommunikation eine doppelte Belastung auferlegt, zunächst durch die anfängliche Kompromittierung und dann durch die potenzielle Schädigung ihres Rufs, wenn ihr Host öffentlich als bösartig erkannt wird. Das Unternehmen betonte, dass Opfer durch die Unterbrechung der Kommunikation mit Upstream-Servern keine C2-Anweisungen erhalten könnten, was aktuelle und zukünftige Benutzer effektiv vor Kompromittierung schützt.
Über QakBot
QakBot, auch bekannt als QBot, ist seit etwa 2007 ein berüchtigter Banktrojaner und eine Schadsoftware zum Diebstahl von Informationen. Er zielt hauptsächlich auf Windows-Betriebssysteme ab und ist darauf ausgelegt, vertrauliche Finanzinformationen von infizierten Computern zu stehlen, wie etwa Bankzugangsdaten, Kreditkartendaten usw persönliche Daten. QakBot gelangt normalerweise über bösartige E-Mail-Anhänge, Links oder infizierte Websites. Sobald es auf einem System installiert ist, kann es eine Verbindung zu Command-and-Control-Servern (C2) herstellen, sodass Hacker den infizierten Computer steuern und gestohlene Daten aus der Ferne herausfiltern können. QakBot hat im Laufe der Jahre ein hohes Maß an Raffinesse bewiesen und seine Techniken ständig weiterentwickelt, um Erkennungs- und Sicherheitsmaßnahmen zu umgehen. Es kann sich auch über Netzwerkfreigaben verbreiten und Schwachstellen ausnutzen, um sich innerhalb eines Netzwerks zu verbreiten. Insgesamt stellt QakBot aufgrund seiner Fähigkeit, vertrauliche Informationen zu stehlen und möglicherweise zu finanziellen Verlusten zu führen, eine erhebliche Bedrohung für Einzelpersonen und Organisationen dar.
QakBot-Malware-Betreiber verstärken die Bedrohung mit der Zunahme von 15 neuen C2-Servern Screenshots
