Obwohl Microsoft in den letzten Jahren lobenswerte Arbeit bei der Bekämpfung von Malware und deren Verhinderung geleistet hat, einschließlich des jüngsten Verbots der Ausführung von Makros in aus dem Internet heruntergeladenen Office-Dateien, scheinen Bedrohungsakteure dies immer zu tun So wie sich die berüchtigte Qbot-Malware nun weiterentwickelt hat, um auch gegen die neueste Version von Microsoft wirksam zu bleiben Taktik.
Laut Untersuchungen von Black Lotus Labs hat die Qbot-Malware, die ursprünglich vor über einem Jahrzehnt als Banktrojaner begann, ihr Verbreitungsnetzwerk, ihre Bereitstellungsmethoden sowie ihre Befehls-und Kontrollfunktionen schnell angepasst (C2 )-Server als Reaktion auf die Änderungen von Microsoft. Darüber hinaus haben Bedrohungsakteure auch neue Techniken für den Erstzugriff in Phishing-Kampagnen eingeführt, beispielsweise die Verwendung bösartiger OneNote-Dateien, Mark of the Web-Umgehung und HTML-Schmuggel.
„Qakbot hat durch den Einsatz eines einfallsreichen Ansatzes Widerstandsfähigkeit bewiesen.“ beim Aufbau und der Entwicklung seiner Architektur. Es demonstriert technisches Fachwissen, indem es verschiedene Erstzugriffsmethoden einsetzt und eine robuste, aber ausweichende C2-Wohnarchitektur aufrechterhält“, heißt es in dem Bericht.
Größere Anpassungsfähigkeit
Neben den neuen Bereitstellungsmethoden haben sich die Qbot-Betreiber geändert Wie sie ihre C2-Server verwalten, denn anstatt sich auf gehostete virtuelle private Server (VPS) zu verlassen, verstecken Bedrohungsakteure die C2-Server jetzt in kompromittierten Webservern und Hosts in privaten IP-Bereichen. Obwohl dieser Ansatz zu einer kürzeren Lebensdauer der Server führt, können sich Hacker schnell neue Server beschaffen. Während eines Spam-Zyklus werden jede Woche etwa 90 neue C2-Server in Betrieb genommen.
Darüber hinaus ist die Umwandlung von Bots in C2-Server für den Betrieb von Qbot von entscheidender Bedeutung. Dies liegt daran, dass über 25 % dieser Server einen Tag lang aktiv sind und die Hälfte nicht länger als eine Woche überlebt. Daher spielen konvertierte Bots eine entscheidende Rolle bei der Wiederauffüllung der C2-Serverversorgung.
Erschwerend kommt hinzu, dass die Malware in absehbarer Zukunft weiterhin eine erhebliche Bedrohung darstellen wird, heißt es in dem Bericht. „Derzeit gibt es keine Anzeichen dafür, dass Qakbot langsamer wird.“
