Q­a­k­B­o­t­ ­K­ö­t­ü­ ­A­m­a­ç­l­ı­ ­Y­a­z­ı­l­ı­m­ı­ ­Y­e­n­i­ ­T­a­k­t­i­k­l­e­r­l­e­ ­Y­e­n­i­d­e­n­ ­O­r­t­a­y­a­ ­Ç­ı­k­ı­y­o­r­ ­v­e­ ­K­o­n­a­k­l­a­m­a­ ­S­e­k­t­ö­r­ü­n­ü­ ­H­e­d­e­f­l­i­y­o­r­

Yeni bir kimlik avı mesajı dalgası dağıtılıyor QakBot kolluk kuvvetlerinin komuta ve kontrol (C2) ağına sızarak altyapısının çöktüğünün görülmesinden üç aydan fazla bir süre sonra kötü amaçlı yazılım gözlemlendi.

Keşfi yapan Microsoft, bunu 11 Aralık 2023’te başlayan ve konaklama sektörünü hedef alan düşük hacimli bir kampanya olarak tanımladı.

Teknoloji devi “Hedefler, IRS çalışanı gibi davranan bir kullanıcıdan PDF aldı” söz konusu X’te (eski adıyla Twitter) paylaşılan bir dizi gönderide.

“PDF, dijital olarak imzalanmış bir Windows Installer’ı (.msi) indiren bir URL içeriyordu. MSI’nın çalıştırılması, Qakbot’un gömülü bir DLL dosyasının dışa aktarma ‘hvsi’ yürütmesi kullanılarak çağrılmasına yol açtı.”

Microsoft, yükün kampanyanın başladığı gün oluşturulduğunu ve daha önce görülmemiş 0x500 sürümüyle yapılandırıldığını söyledi.

Zscaler ThreatLabz, postalamak X’te paylaşılan, yeniden ortaya çıkan QakBot’u, ağ şifrelemesi için AES kullanan ve /teorema505 yoluna POST istekleri gönderen 64 bitlik bir ikili dosya olarak tanımladı.

QBot ve Pinkslipbot olarak da adlandırılan QakBot, yetkililerin altyapısına erişmeyi başarması ve virüslü bilgisayarlara kötü amaçlı yazılımı etkisiz hale getirmek için bir kaldırma dosyası indirmeleri talimatını vermesinin ardından Duck Hunt Operasyonu adı verilen koordineli bir çabanın parçası olarak kesintiye uğradı.

Geleneksel olarak kötü amaçlı ekler veya köprüler içeren spam e-posta mesajları aracılığıyla dağıtılan QakBot, hassas bilgileri toplamanın yanı sıra fidye yazılımı da dahil olmak üzere ek kötü amaçlı yazılımlar sunma yeteneğine sahiptir.

Ekim 2023’te Cisco Talos, QakBot bağlı kuruluşlarının fidye yazılımı, uzaktan erişim truva atları ve hırsız kötü amaçlı yazılımların bir karışımını sunmak için kimlik avı tuzaklarından yararlandığını ortaya çıkardı.

QakBot’un geri dönüşü, kolluk kuvvetleri tarafından dağıtıldıktan sonra 2021 aylarının sonlarında yeniden ortaya çıkan Emotet’in geri dönüşünü yansıtıyor. kaldı BİR dayanıklı tehditdaha düşük düzeyde de olsa.

Kötü amaçlı yazılımın eski ihtişamına dönüp dönmeyeceği henüz belli olmasa da, bu tür botnet’lerin dayanıklılığı, kuruluşların Emotet ve QakBot kampanyalarında kullanılan spam e-postaların kurbanı olmaktan kaçınmaları gerektiğinin altını çiziyor.

Proofpoint’in kıdemli tehdit istihbarat analisti Selena Larson, The Hacker News ile paylaştığı bir açıklamada, “Kolluk kuvvetlerinin eylemlerinden sonra kötü amaçlı yazılımların geri döndüğünü görmek olağandışı bir durum değil; en öne çıkan ikisi TrickBot ve Emotet’tir.” dedi.

“Qbot’un e-posta tehdit verilerine geri dönüşü dikkate değer olsa da, önceki kampanyalarla aynı hacim ve ölçekte gözlemlenmedi. Kolluk kuvvetlerinin aksaması, Qbot’un operasyonları üzerinde hala bir etkiye sahip gibi görünüyor.”