Vaikka Microsoft on viime vuosina tehnyt kiitettävää työtä torjuessaan haittaohjelmia ja estäessään niiden tuhoa, mukaan lukien äskettäinen makrojen suorittamisen kielto Internetistä ladatuissa Office-tiedostoissa, näyttää siltä, että uhkatoimijat löytävät aina tapa, jolla pahamaineinen Qbot-haittaohjelma on nyt kehittynyt pysyäkseen tehokkaana Microsoftin uusimpia haittaohjelmia vastaan. taktiikka.
Black Lotus Labsin tekemän tutkimuksen mukaan yli kymmenen vuotta sitten pankkitroijalaisena alkanut Qbot-haittaohjelma on nopeasti mukauttanut jakeluverkkoaan, käyttöönottomenetelmiään sekä komento-ja ohjausjärjestelmäänsä (C2 )-palvelin vastauksena Microsoftin muutoksiin. Lisäksi uhkatoimijat ovat ottaneet käyttöön uusia tekniikoita tietojenkalastelukampanjoiden alkupääsyyn, kuten haitallisten OneNote-tiedostojen käyttäminen, Mark of the Web-väistys ja HTML-salakuljetus.
“Qakbot on osoittanut sietokykyä käyttämällä kekseliäistä lähestymistapaa. rakentaessaan ja kehittäessään arkkitehtuuriaan.. se osoittaa teknistä asiantuntemusta käyttämällä erilaisia alkupääsymenetelmiä ja ylläpitämällä vankkaa mutta välttelevää C2-arkkitehtuuria”, sanotaan raportissa.
Parempi mukautuvuus
Uusien käyttöönottomenetelmien lisäksi Qbot-operaattorit ovat muokanneet miten he hallitsevat C2-palvelimiaan, sillä isännöityjen virtuaalisten yksityispalvelimien (VPS) sijasta uhkatoimijat piilottavat nyt C2-palvelimet vaarantuneiden web-palvelimien ja isäntien sisään IP-tiloissa. Vaikka tämä lähestymistapa lyhentää palvelimien käyttöikää, hakkerit voivat nopeasti hankkia uusia. Noin 90 uutta C2-palvelinta tuodaan esiin joka viikko roskapostijakson aikana.
Lisäksi robottien muuntaminen C2-palvelimiksi on ratkaisevan tärkeää Qbotin toiminnalle. Tämä johtuu siitä, että yli 25 % näistä palvelimista on aktiivisia päivän ajan, ja puolet ei selviä yli viikon. Tästä syystä muunnetuilla roboteilla on tärkeä rooli C2-palvelintarjonnan täydentämisessä.
Pahentaa tilannetta, että raportissa todetaan, että haittaohjelmat pysyvät merkittävänä uhkana lähitulevaisuudessa.”Tällä hetkellä ei ole merkkejä Qakbotin hidastumisesta.”
