.
A operação de malware Qbot – que começou há mais de uma década como trojan bancário apenas para evoluir para um backdoor e um sistema de entrega para ransomware e outras ameaças – continua a adaptar habilmente suas técnicas para ficar à frente dos profissionais de segurança, de acordo com um novo relatório.
Mais recentemente, os operadores por trás do Qbot – também conhecidos como Qakbot e Pinkslipbot – mostraram este ano novos métodos para distribuir malware e uma infraestrutura de comando e controle (C2) altamente adaptável, com um quarto dos usados ficando ativos por apenas um dia. , pesquisadores do grupo de inteligência de ameaças Black Lotus Labs da Lumen escrever.
Os novos métodos de entrega foram em parte necessários após a Microsoft no ano passado bloqueado macros de origem da Internet por padrão para usuários do Office.
Essa flexibilidade e velocidade de mudança permitiram que o Qbot, vinculado à Rússia, continuasse com suas práticas maliciosas desde que foi detectado pela primeira vez em 2007.
“O Qakbot perseverou ao adotar uma abordagem conveniente de campo para construir e desenvolver sua arquitetura”, escrevem os pesquisadores. “Embora possa não depender de números absolutos como o Emotet, ele demonstra habilidade técnica variando os métodos de acesso inicial e mantendo uma arquitetura C2 residencial resiliente, mas evasiva.”
O malware geralmente entra em um sistema por meio de e-mails de spear phishing que carregam arquivos com código malicioso ou URLs incorporados que levam a documentos fraudulentos.
Adeus macros da Microsoft
A Microsoft desligando as macros do Visual Basic for Applications (VBA) e XL4 por padrão fez com que muitos malfeitores tivessem que se esforçar para encontrar outros meios para explorar documentos do Office. Um relatório recente da Proofpoint [PDF] descobriu que o número de campanhas de malware que usavam as macros caiu 66% em 2022 e praticamente desapareceu este ano.
Os operadores do Qbot geralmente retardam os ataques de spam às vezes para reequipar o malware antes de retomar suas atividades. Isso aconteceu no ano passado após as ações macro da Microsoft, com o Qbot ficando quieto antes de aumentar no final de 2022.
Os operadores lançaram este ano novas técnicas de acesso inicial para suas campanhas de phishing, incluindo arquivos maliciosos do OneNote, evasão de marca da Web e contrabando de HTML, de acordo com o Black Lotus Labs, que usou a telemetria do backbone IP global da Lumen para rastrear a atividade do Qbot.
Os pesquisadores descobriram que os picos no recrutamento de bots do Qbot se encaixavam com a introdução de novas técnicas de entrada.
“Vemos os picos mais altos de recrutamento de bots, indicando prováveis campanhas de spam bem-sucedidas, durante as campanhas do OneNote de janeiro e fevereiro de 2023 e, em seguida, na campanha de contrabando de HTML de março”, escreveram eles. “É provável que a exploração baseada no OneNote tenha se tornado menos eficaz na obtenção de novos bots por causa da facilidade com que os defensores podem bloquear o OneNote em servidores de e-mail”.
A curta vida de um Qbot C2
Os servidores C2 são outra área de adaptação da Qbot. Os operadores estão escondendo os C2s em servidores e hosts da Web comprometidos que estão em um espaço IP residencial existente – um endereço IP atribuído por um provedor de serviços de Internet a um usuário da Internet para ser usado em uma área residencial – em vez de um servidor privado virtual hospedado ( VPS).
É difícil manter a persistência desses C2s, então eles não permanecem por muito tempo. Dito isso, os operadores de Qbot podem reabastecê-los rapidamente, com 70 a 90 novos C2s girando em um determinado período de sete dias durante o ciclo de spam de botnet.
Eles podem manter o número de servidores C2 apesar da rápida rotatividade, escrevem os pesquisadores. Após o primeiro dia em que um sistema é infectado, um bot transmite ao C2 cerca de metade de todos os dados roubados que ele enviará, com um salto para 90% no sétimo dia.
“Isso indica que, uma vez que a vítima é infectada, os operadores obtêm o que precisam rapidamente, carregando malware adicional à vontade”, escrevem eles. “Os atores podem então usar o bot para outros propósitos nefastos ou vendê-lo para outros atores.”
Convertendo bots em C2s
Isso inclui converter o bot em servidores C2, o que ajuda os operadores do Qbot a evitar as defesas da rede, reduzindo a capacidade de bloqueio estático que depende de indicações de comprometimento (IOCs), alterando continuamente o endereço dos pontos de controle C2. O notório Malware emotet também puxa isso truque.
Transformar bots em C2s é a chave para as operações da Qbot. Enquanto mais de 25 por cento dos C2s ficam ativos por apenas um dia, metade não chega a uma semana. Eles precisam dos bots convertidos para reabastecer o suprimento de servidores C2, que se comunicam com os nós C2 Tier 2 hospedados em provedores VPS que geralmente estão fora do alcance da aplicação da lei não russa.
Há também um servidor separado – que o Black Lotus Labs chama de servidor de backconnect – cujo papel completo na operação não é claro, mas que só se comunica com os bots e pode transformá-los em proxies para serem vendidos ou usados para outros trabalhos maliciosos.
A Qbot tem um longo histórico de adaptação de suas operações ao cenário de segurança cibernética em constante evolução e é provável que continue.
“Atualmente, não há sinais de que o Qakbot está diminuindo”, escrevem os pesquisadores do Black Lotus Labs. ®
.
