QBot malware-ի վերլուծությունը ցույց տվեց, որ դրա command-and-control (C2) հրամանի սերվերների 25%-ը ընդամենը մեկ օր է ակտիվ եղել:
Սերվերների 50%-ը սովորաբար մեկ շաբաթից ավելի ակտիվ չեն մնում, ինչը ցույց է տալիս ադապտատիվ և դինամիկ C2 infrastructure-ի կիրառումը, նշվում է Lumen Black Lotus Labs-ի վերջին զեկույցում:
QBot-ը, որը նաև կոչվում է QakBot և Pinkslipbot, հզոր սպառնալիք է, որն իր տարածումը սկսել է որպես բանկային trojan, նախքան այլ payload-երի համար downloader ծառայելը, այն իր մեջ ներառում և գործարկում է ransomware: Նրա ծագման արմատները գալիս են դեռևս 2007 թ.-ից:
Malware-ն իր թիրախային օգտատերերին հասնում է spear-phishing նամակների միջոցով, որոնք կա՛մ ուղղակիորեն ներառում են մոլորեցնող ֆայլեր, կա՛մ պարունակում են URL-ներ:
QBot-ի հետևում կանգնած հաքերները շարունակաբար կատարելագործել են իրենց մարտավարությունը` ներթափանցելով թիրախային օգտատերերի համակարգեր և կիրառելով տարբեր մեթոդներ, ինչպիսիք են՝ էլ. փոստի առևանգումն ու HTML smuggling-ը:
Եթե նախկինում QBot-ն օգտագործում էր Microsoft OneNote-ը, վերջին հարձակումների ժամանակ կիրառվել են PDF ֆայլեր՝ malware-ները տուժած համակարգերում տեղակայելու համար:
QakBot’s reliance-ը վտանգված վեբ սերվերների և հոսթերների վրա գոյություն ունեն C2-ի IP տարածքում, որոնք հանգեցնում են մի սցենարի, ինչի արդյունքում միջինում յոթ օրվա ընթացքում 70-ից 90 նոր սերվեր է առաջանում:
Անցյալ ամիս, Team Cymru-ի կողմից հրապարակված տվյալների համաձայն, Qakbot bot C2 սերվերների մեծ մասը որակվել են որպես վտանգված հոսթեր, որոնց մեծ մասը գտնվում է Հնդկաստանում:
Black Lotus Labs-ի կողմից հարձակման ենթակառուցվածքի ուսումնասիրությունը հետագայում բացահայտեց backconnect սերվերի առկայությունը, որը վնասված բոտերի «զգալի մասը» վերածում է proxy-ների, որոնք հետագայում կարող են գովազդվել և կիրառվել այլ վնասակար նպատակներով:
Աղբյուրը՝ https://thehackernews.com/