QakBot Tehdit Aktörleri Hala Faaliyette, Son Saldırılarda Ransom Knight ve Remcos RAT Kullanıyor - Dünyadan Güncel Teknoloji Haberleri

QakBot Tehdit Aktörleri Hala Faaliyette, Son Saldırılarda Ransom Knight ve Remcos RAT Kullanıyor - Dünyadan Güncel Teknoloji Haberleri


05 Eki 2023Haber odasıFidye yazılımı / Kötü amaçlı yazılım

Altyapısındaki kesintiye rağmen, QakBot kötü amaçlı yazılımının arkasındaki tehdit aktörleri, Ağustos 2023’ün başlarından bu yana devam eden ve Ransom Knight (diğer adıyla Cyclops) fidye yazılımının ve Remcos RAT’ın teslim edilmesine yol açan bir kimlik avı kampanyasıyla ilişkilendirildi ”



siber-2

hizmet (RaaS) şeması

Kaldırma işleminden hemen önce başlayan en son etkinlik, muhtemelen kimlik avı e-postaları aracılığıyla dağıtılan, başlatıldığında enfeksiyonu patlatan ve sonunda Cyclops fidye yazılımının yakın zamanda yeniden markalanan Ransom Knight fidye yazılımını dağıtan kötü amaçlı bir LNK dosyasıyla başlıyor

Kampanyada kullanılan bazı dosya adlarının İtalyanca yazılması, saldırganların o bölgedeki kullanıcıları hedef aldığını gösteriyor XLL) dosyalarını içerdiği de gözlemlendi

Venere, “Altyapının kaldırılması sonrasında Qakbot’u dağıtan tehdit aktörlerini görmemiş olsak da, kötü amaçlı yazılımın büyük olasılıkla gelecekte önemli bir tehdit oluşturmaya devam edeceğini değerlendiriyoruz” dedi söz konusu bugün yayınlanan yeni bir raporda

“Operatörlerin aktif kalması göz önüne alındığında, kaldırma öncesi faaliyetlerine tam olarak devam etmek için Qakbot altyapısını yeniden inşa etmeyi seçebilirler

LNK dosyalarını içeren ZIP arşivlerinin, uç noktalara kalıcı arka kapı erişimini kolaylaştıran Remcos RAT’ı yaymak için Excel eklentisi ( Ağustos 2023’ün sonlarında, kötü şöhretli kötü amaçlı yazılım operasyonu Duck Hunt adlı operasyonun parçası olarak darbe aldı

QBot ve Pinkslipbot olarak da adlandırılan QakBot, 2007 yılında Windows tabanlı bir bankacılık truva atı olarak ortaya çıktı ve daha sonra fidye yazılımı da dahil olmak üzere ek yükler sunma yetenekleri geliştirdi

Faaliyet, siber güvenlik firması tarafından QakBot bağlı kuruluşlarına orta derecede güvenle atfedildi Tehdit aktörlerinin, altyapının kaldırılmasının ardından kötü amaçlı yazılım yükleyicisinin kendisini dağıtmaya devam ettiğine dair bugüne kadar hiçbir kanıt yok

Cisco Talos araştırmacısı Guilherme Venere, bu, “kolluk kuvvetleri operasyonunun Qakbot operatörlerinin spam dağıtım altyapısını değil, yalnızca komuta ve kontrol (C2) sunucularını etkilemiş olabileceğini” gösteriyor