Pengendali yang dikaitkan dengan perisian hasad QakBot (aka QBot) telah menyediakan 15 pelayan arahan dan kawalan (C2) baharu pada akhir Jun 2023.
Sumber thehackersnews
Penemuan ini adalah kesinambungan analisis infrastruktur perisian hasad daripada Team Cymru, dan tiba lebih kurang dua bulan selepas Lumen Black Lotus Labs mendedahkan bahawa 25% pelayan C2nya hanya aktif untuk satu hari mengikut sumber the hackernews.
"QakBot mempunyai sejarah untuk berehat panjang setiap musim panas sebelum kembali pada bulan September, dengan aktiviti spam tahun ini dihentikan sekitar 22 Jun 2023," kata firma keselamatan siber itu.
"Tetapi adakah pengendali QakBot sebenarnya sedang bercuti apabila mereka tidak menghantar spam, atau adakah 'rehat' ini masa untuk mereka memperhalusi dan mengemas kini infrastruktur dan alatan mereka?"
Rangkaian C2 QakBot, seperti dalam kes Emotet dan IcedID, dicirikan oleh seni bina berperingkat di mana nod C2 berkomunikasi dengan nod hulu Tahap 2 (T2) C2 yang dihoskan pada penyedia VPS yang ditempatkan di Rusia.
Sebilangan besar pelayan bot C2, yang berkomunikasi dengan hos mangsa, terletak di India dan alamat IP Destinasi A.S. yang dikenal pasti daripada sambungan T2 keluar terutamanya berpangkalan di A.S., India, Mexico dan Venezuela.
Turut hadir bersama C2 dan Tahap 2 C2 ialah pelayan BackConnect (BC) yang menukar bot yang dijangkiti menjadi proksi untuk tujuan jahat yang lain.
Penyelidikan terbaharu daripada Team Cymru mendedahkan bahawa bilangan C2 sedia ada yang berkomunikasi dengan lapisan T2 telah menurun dengan ketara, dengan hanya lapan yang tinggal, sebahagiannya didorong oleh penghalaan nol Black Lotus Labs bagi infrastruktur peringkat lebih tinggi pada Mei 2023.
"Kami memerhatikan bahawa pada 2 Jun, C2 A.S. semuanya hilang, dan trafik dari C2 India menurun dengan ketara," kata syarikat itu, mengaitkan kekurangan aktiviti A.S. kepada penghalaan nol lapisan T2.
Di luar 15 pelayan C2, enam pelayan C2 aktif sejak sebelum Jun dan dua pelayan C2 yang hidup pada bulan Jun telah terus mempamerkan aktiviti pada bulan Julai selepas spamming berakhir.
Analisis lanjut data NetFlow mempamerkan corak di mana "kejadian peningkatan sambungan T2 keluar sering berlaku berikutan lonjakan dalam aktiviti untuk sambungan bot C2 masuk" dan "lonjakan dalam sambungan T2 keluar selalunya sepadan dengan penurunan dalam aktiviti bot C2."
"Dalam meningkatkan mangsa untuk digunakan sebagai infrastruktur C2 dengan komunikasi T2, QakBot secara berkesan menghukum pengguna dua kali, pertama dalam kompromi awal, dan kedua dalam potensi risiko terhadap reputasi hos yang dikenal pasti secara terbuka sebagai berniat jahat," kata Team Cymru.
Dengan memutuskan komunikasi kepada pelayan huluan, syarikat itu menegaskan, mangsa dihalang daripada menerima arahan C2, dengan itu berkesan melindungi pengguna semasa dan akan datang daripada kompromi mengikut sumber thehackernews.
0 Comments