Warszawa 13 października 2023 – Grupy wykorzystujące złośliwe oprogramowanie Qakbot od początku sierpnia 2023 r. prowadzą kampanie, w ramach których wiadomościami phishingowymi rozpowszechniają ransomware Ransom Knight i backdoor Remcos. Warto zauważyć, że aktywność ta rozpoczęła się jeszcze przed rozbiciem przez FBI Qakbot pod koniec sierpnia. Operacja organów ścigania nie wpłynęła więc na infrastrukturę dostarczania spamu przez operatorów Qakbot, a tylko na serwery dowodzenia i kontroli.
Eksperci Cisco Talos przypisali nową kampanię podmiotom powiązanym z Qakbot, ponieważ metadane znalezione w plikach LNK używanych w tej kampanii pasują do metadanych z maszyn używanych w poprzednich kampaniach Qakbot “AA” i “BB”. Mimo iż Qakbot został wyeliminowany z dalszej dystrybucji narzędzi, oprogramowanie związane z grupą nadal będzie stanowić poważne zagrożenie. Nie wszyscy cyberprzestępcy związani z grupą zostali aresztowani i nadal działają, co zostawia otwartą furtkę do odbudowania infrastruktury botnetu.
Podczas operacji z udziałem FBI przeprowadzonej pod koniec sierpnia 2023 r., organy ścigania przejęły infrastrukturę i aktywa kryptowalutowe wykorzystywane przez grupę stojącą za malwarem Qakbot, wyrządzając znaczne szkody w jej działalności. Wiele osób z branży bezpieczeństwa przewidywało zniknięcie Qakbot na zawsze.
„Obecnie, z dużą dozą prawdopodobieństwa możemy stwierdzić, że przestępcy stojący za Qakbotem są nadal aktywni i prowadzą kampanię, która rozpoczęła się tuż przed akcją FBI. Dystrybuują oni wariant ransomware Cyclops/Ransom Knight wraz z backdoorem Remcos. Połączyliśmy tę ich nową aktywność z maszynami używanymi w poprzednich kampaniach Qakbot, na bazie metadanych plików LNK używanych w nowej kampanii” – wyjaśnia Guilherme Venere z Cisco Talos we wpisie na blogu.
Jeszcze w styczniu 2023 r. eksperci Cisco Talos wytłumaczyli sposób wykorzystywania metadanych z plików LNK do identyfikowania i śledzenia cyberprzestępców. We wpisie na blogu zostało przybliżone, w jaki sposób jedna maszyna używana w kampanii “AA” z numerem seryjnym dysku “0x2848e8a8” została później wykorzystana w kampanii nowego botnetu o nazwie “BB”. Po publikacji, przestępcy Qakbot odpowiedzialni za kampanie “AA”, “BB” i “Obama” usunęli metadane ze swoich plików LNK, aby utrudnić wykrywanie i śledzenie.
Zespół Cisco Talos zidentyfikował nowe pliki LNK w sierpniu 2023 r. Nazwy plików LNK, z motywami pilnych spraw finansowych, sugerują, że są one rozpowszechniane w wiadomościach phishingowych, co jest zgodne z poprzednimi kampaniami Qakbot.
Niektóre z nazw plików są napisane w języku włoskim, co sugeruje, że podmioty stanowiące zagrożenie mogą atakować użytkowników w tym regionie. Pliki LNK są dystrybuowane wewnątrz archiwów Zip, które zawierają również plik XLL. XLL jest rozszerzeniem używanym w dodatkach do Excela i ma ikonę podobną do innych formatów plików Excela.
Eksperci Cisco Talos twierdzą, że za ostatnimi wydarzeniami nie stoi Qakbot, tylko klienci cyberprzestępców. Działania trwają od sierpnia 2023 r. i nie zostały zakłócone po ataku FBI. Najprawdopodobniej organy ścigania nie wpłynęły na infrastrukturę dostarczania phishingowych wiadomości e-mail Qakbot, a jedynie na serwery dowodzenia i kontroli grupy cyberprzestępczej.
„Chociaż nie widzieliśmy nowych grup dystrybuujących Qakbot to złośliwe oprogramowanie prawdopodobnie nadal będzie stanowić poważne zagrożenie w przyszłości. Osoby znające oprogramowanie pozostają aktywne co może sprawić, że odbudują one infrastrukturę Qakbot, aby wznowić swoją działalność” – ostrzega Guilherme Venere z Cisco Talos.
Jak bronić się przed Qakbot?
- Cisco Secure Endpoint (wcześniej AMP for Endpoints) zapobiega wykonywaniu złośliwego oprogramowania opisanego w tym poście.
- Skanowanie sieciowe Cisco Secure Web Appliance zapobiega dostępowi do złośliwych stron internetowych i wykrywa złośliwe oprogramowanie wykorzystywane w tych atakach.
- Cisco Secure Email (dawniej Cisco Email Security) może blokować złośliwe wiadomości e-mail wysyłane przez podmioty stanowiące zagrożenie w ramach ich kampanii.
- Urządzenia Cisco Secure Firewall (dawniej Next-Generation Firewall i Firepower NGFW), takie jak Threat Defense Virtual, Adaptive Security Appliance i Meraki MX, mogą wykrywać złośliwą aktywność związaną z tym zagrożeniem.
- Cisco Secure Malware Analytics (Threat Grid) identyfikuje złośliwe pliki binarne i wbudowuje ochronę we wszystkie produkty Cisco Secure.
- Umbrella, bezpieczna brama internetowa Cisco (SIG), blokuje użytkownikom możliwość łączenia się ze złośliwymi domenami, adresami IP i adresami URL, niezależnie od tego, czy użytkownicy znajdują się w sieci firmowej, czy poza nią.
- Cisco Secure Web Appliance (dawniej Web Security Appliance) automatycznie blokuje potencjalnie niebezpieczne witryny i testuje podejrzane witryny, zanim użytkownicy uzyskają do nich dostęp.
- Dodatkowe zabezpieczenia w kontekście konkretnego środowiska i danych o zagrożeniach są dostępne w Firewall Management Cente
- Cisco Duo zapewnia uwierzytelnianie wieloskładnikowe dla użytkowników, aby zapewnić, że tylko osoby upoważnione uzyskują dostęp do sieci.