QBOT (AKA KAKBOT veya QUAKBOT) olarak bilinen yaygın kötü amaçlı yazılımlar yakın zamanda ışık saldırılarına geri döndü ve analistlere göre, ilk enfeksiyondan sonra hassas verileri çalmak için sadece yaklaşık 30 dakika sürer.
DFIR tarafından yeni bir rapora göre, QBOT bu hızlı veri kapanma vuruşlarını 2021 Ekim aylarında geri çekiyordu ve şimdi arkasındaki tehdit aktörlerinin benzer taktiklere geri döndüğü anlaşılıyor.
Daha spesifik olarak, analistler, rakiplerin tarayıcı verilerini çalmaları için yarım saat sürdüğünü ve bitişik bir iş istasyonuna atlamadan 50 dakika önce ve 50 dakika önce.
Aşağıdaki şemada gösterildiği gibi, QBOT, bir enfeksiyondan hemen sonra ayrıcalık yükselişi gerçekleştirmek için hızlı bir şekilde hareket eder, tam teşekküllü bir keşif taraması on dakika içinde gerçekleşir.
İlk erişim, tipik olarak, DLL yükleyiciyi hedef makineye bırakmak için bir makro kullanan bir Excel (XLS) belgesi ile elde edilir.
Bu yükleme yükü daha sonra MSRA.EXE işlemi aracılığıyla zamanlanmış bir görev oluşturmayı ve kendisini sistem ayrıcalıklarına yükseltmeyi çalıştırır.
Ek olarak, kötü amaçlı yazılım QBOT DLL'ü Microsoft Defender'ın dışlama listesine ekler, bu nedenle Msra.exe'ye enjeksiyon yapıldığında tespit edilmeyecektir.
Kötü amaçlı yazılım, ilk yürütmeden yarım saat sonra, daha sonra tekrar zincir kimlik avı saldırıları için kullanılan ve diğer tehdit aktörlerine satılan e-postaları çalıyor.
QBOT LSASS (Yerel Security Authority Server hizmeti) enjeksiyonlarını ve Web tarayıcılarından Windows kimlik bilgilerini hafızadan çalıyor. Bunlar, ağdaki diğer cihazlara yanal hareketi kaldırır, ilk yürütmeden sonra ortalama elli birkaç dakika sonra başlatılır.
QBOT, bir dll'yi bir sonraki hedefe kopyalayarak taranan ortamdaki tüm iş istasyonlarına yanal olarak hareket eder ve yürütmek için uzaktan bir hizmet oluşturur.
Aynı zamanda, önceki enfeksiyon temizlenir, bu nedenle sadece kimlik bilgilerini çıkarmış olan makine dezenfekte edilir ve normal görünür.
Ayrıca, yeni iş istasyonlarında oluşturulan hizmetler, sistemin yeniden başlatılmasına neden olan 'deleteflag' parametresine sahiptir.
Yanal hareket hızla gerçekleşir, bu nedenle iş istasyonlarını korumak için bir ağ segmentasyonu yoksa, durum savunma ekipleri için çok zorlaşıyor.
Ayrıca, QBOT tehdidi aktörleri, sıklıkla, kolay adres maskeleme ve dönme için birinci kademe proxy noktaları olarak bir kısmını kullanmayı ve C2 sunucusuyla SSL iletişimi için birden fazla bağlantı noktası kullanmayı sever.
Bu hızlı saldırıların etkisi veri kaybıyla sınırlı değildir, çünkü QBOT'un fidelikware yüklerini tehlikeye atılan kurumsal ağlara düşürdüğü görüldü.
Aralık 2021'den itibaren bir Microsoft Raporu, QBOT saldırılarının çok yönlülüğünü yakaladı ve enfeksiyonlarının kapsamını doğru bir şekilde değerlendirmeyi zorlaştırdı.
Bununla birlikte, bir qbot enfeksiyonunun tam olarak ortaya çıkması ne olursa olsun, neredeyse her şeyin bir e-posta ile başlamasını aklınızda bulundurmanız şarttır, bu nedenle kuruluşların güçlendirilmesi gereken ana erişim noktasıdır.
Bugünün 'Enable İçeriği' ve 'Etkinleştir' düğmelerini kaldırarak, indirilen belgelerde makroları varsayılan olarak engelleyeceklerini varsayılan olarak, kullanıcıları QBOT phishing saldırılarından korumak için uzun bir yol olacaktır.
Microsoft: Bunlar QBOT kötü amaçlı yazılım saldırılarının yapı taşlarıdır.
Redline kötü amaçlı yazılım tarafından çalınan 441K hesabı ekledim mi?
Drex Malware Sahte İş Sonlandırma E-postalarıyla Çalışanları Trolls
QBOT Squirrelwaffle kullanarak yeni bir enfeksiyon dalgası için döner
Zimbra sıfır gün güvenlik açığı aktif olarak e-postaları çalmak için sömürüldü
Kaynak: Bleeping Computer