QBOT kampanyaları büyüklükte ve sıklıkta arttıkça, araştırmacılar Trojan'ın dağıtım zincirini kırmanın ve tehdide mücadele etmenin yollarını arıyorlar.
Geçtiğimiz birkaç yıl boyunca, QBOT (Qakbot veya Quakbot), tehdit aktörlerinin banka kimlik bilgilerini ve Windows etki alanı kimlik bilgilerini çalmasına, diğer bilgisayarlara yayılmasını ve Ransomware çetelerine uzaktan erişim sağlayan geniş çapta Windows kötü amaçlı yazılımına yayılmıştır.
Mağdurlar, genellikle başka bir kötü amaçlı yazılım bulaşmasından veya sahte faturalar, ödeme ve bankacılık bilgileri, taranmış belgeler veya faturalar dahil olmak üzere çeşitli lures kullanarak kimlik avı kampanyaları ile qbot ile enfekte olurlar.
Kurumsal ağları ihlal etmek için QBOT kullandığı bilinen Ransomware çeteleri, eri, Egregor, Prolock, Pwndlocker ve MegacortEx suşlarını içerir.
Bundan dolayı, tehdit aktörlerinin bir QBOT'ta sızıntısız bir ortamda nasıl sızmasını ve hareket etmesini sağlamak, savunucuların yıkıcı saldırıları serbest bırakmadan önce davetsiz misafirleri durdurmasına yardımcı olmak için kritik öneme sahiptir.
Yeni bir raporda, Microsoft, qbot saldırı zincirini, kötü amaçlı yazılımı ve yürüttüğü saldırı türünü kullanarak operatöre bağlı olarak farklı olabilecek farklı "yapı taşlarına" ayrılır.
Bir saldırı zincirini göstermek için Microsoft, her biri bir adım ataktaki bir adımı temsil eden farklı renkteki Lego parçalarını kullandı.
"Bununla birlikte," Ancak, analizimize dayanarak, bir QAKBOT'a bağlı bir olayı, güvenlik analistlerinin Qakbot kampanyalarına tanımlamasına ve yanıtlamanıza yardımcı olabilecek bir dizi farklı "yapı taşları" diğerine ayrılabilir "dedi.
"Aşağıdaki Şekil 1, bu yapı bloklarını temsil eder. Gözlemimizden, her Kaakbot saldırı zincirinin yalnızca her rengin bir bloğuna sahip olabilir. İlk satır ve makro blok, Qakbot'u teslim etmek için kullanılan e-posta mekanizmasını temsil eder."
Bu farklı saldırı zincirleri, aynı anda birden fazla saldırı kanalı denemeye başlayarak, yüksek hedefli bir yaklaşımın ya da tek bir sızma noktasında başarılı olmanın bir girişiminin bir sonucudur.
Aynı kampanyada hedeflenen üç cihaza bakarken bile, saldırganlar üç farklı saldırı zinciri kullanabilirler.
Örneğin, cihazın nihayetinde bir fidye yazılımı saldırısına maruz kalırken, cihaz B yanal hareketi için kullanılır ve C aygıtını kimlik bilgilerini çalmak için kullanılır.
Aynı saldırıda farklı ekler zincirlerinin kullanımı, saldırı sonrası araştırmalardaki tüm kanıtları analiz etmenin öneminin altını çizmenin öneminin altını çizmenin önemi, çünkü örnek kayıtlara veya bir cihazda neler olup bittiğinde güvenli bir sonuç çıkarılamaz.
Daha sonraki aşamalarda ne olursa olsun, QBOT tehdidinin kötü niyetli bağlantılar, ekleri veya gömülü görüntüleri taşıyan bir e-postanın gelişiyle başlamasının altını çizmek önemlidir.
Mesajlar tipik olarak kısa, e-posta güvenliği çözümlerinin görmezden geldiğini harekete geçirmek için bir çağrı içeriyor.
Gömülü bağlantıların kullanılması, çoğu, URL'lerdeki HTTP veya HTTPS protokolünü eksik olan en zayıf yaklaşımdır, çoğu e-posta istemcisinde tıklanamayacaklarıdır. Ayrıca, tıklanamaz URL'lerin kullanımı, bir HTML bağlantısı olmasaydı e-posta güvenliği çözümlerini atlamaları muhtemeldir.
Bununla birlikte, alıcıların bu URL'leri yeni bir sekmeye kopyalayıp yapıştırması muhtemel değildir, bu nedenle başarı oranları düşer.
Ancak, oyuncuları sahte bir cevap inşa etmek için aktörler e-posta konularını kaçırdığında, şansları çok daha iyi olur.
Bu tür bir iç cevap zinciri saldırısını, son zamanlarda IKEA'ya başarılı bir şekilde çalıştığını gördük ve güvenlik çözümlerinin bunu izlemesi ve durdurması özellikle zor.
Kötü niyetli ataşmanlar durumunda, saldırılar tekrar zayıftır, çünkü çoğu güvenlik ürünleri fermuar eklerini potansiyel olarak kötü niyetli olarak işaret eder.
QBOT'un teslimat repertuarındaki en son ekleme, kötü amaçlı URL'leri içeren e-posta gövdesinde gömülü görüntülerdir.
Yine, bu, içerik güvenlik aracı algılamasının bir başka yoludur, çünkü görüntü alıcıyı bağlantıyı yazmaya çağırırken, metnin bir ekran görüntüsü olduğundan.
Bunu yapmak, sonunda QBOT'u makineye yükleyen kötü amaçlı makroları taşıyan bağcıklı bir Excel dosyasını indirmek için sonuçlar.
E-postanın teslimatından sonra, QBOT saldırı zincirleri aşağıdaki yapı taşlarını kullanır:
QBOT DAĞITIM, Kasım 2021'de tekrar sivri uçmaya başladı ve 'Squirrelwaffle' saldırılarının ortaya çıkmasıyla daha da yardımcı oldu.
QBOT enfeksiyonları çeşitli tehlikeli ve yıkıcı saldırılara neden olabileceği için, tüm yöneticilerin kötü amaçlı yazılımlara ve bir ağ boyunca yayılması için kullandığı taktikleri yakından aşina olmaları gerekir.
Tüm enfeksiyonlar bir e-posta ile başladığından, dikkatinizi orada odaklanmak çok önemlidir, bilinmeyen URL'lere tıklamaktan kaçının veya makroları etkinleştirin ve çalışanlara kimlik avı bilinçlendirme eğitimi ile sağlayın.
Avcılık QBOT ile ilgilenenler için, Microsoft bu GitHub deposunu sıklıkla güncel sorgularla yeniler.
IKEA E-posta Sistemleri Devam Eden CyberAttack tarafından vuruldu
Trickbot, Conti Ransomware saldırıları için Shatak Phishers ile takımlar
QBOT Squirrelwaffle kullanarak yeni bir enfeksiyon dalgası için döner
Emotet şimdi kobalt grevi düşer, hızlı ileri sürükler Ransomware saldırıları
Android Bankacılık Kötü Amaçlı Yazılım Enfekte 300.000 Google Play kullanıcısı
Kaynak: Bleeping Computer