
Qakbot kötü amaçlı yazılımıyla ilişkili bulaşma zincirleri, “farklı yapı taşlarına” bölünmüştür. Bu, Microsoft’un tehdidi proaktif bir şekilde etkili bir şekilde algılamaya ve engellemeye yardımcı olacağını söylediği bir çabadır.
Microsoft 365 Defender Tehdit İstihbarat Ekibi, Qakbot’u “onu kullanan birden çok tehdit aktörü grubunun ihtiyaçlarına uyacak şekilde uyarlanan özelleştirilebilir bir bukalemun” olarak adlandırdı.
Qakbot’un Gold Lagoon olarak bilinen finansal olarak motive edilmiş bir siber suç tehdidi grubunun yaratıldığına inanılıyor. Son yıllarda birçok kritik ve yaygın fidye yazılımı saldırısının habercisi haline gelen ve birçok kampanyayı mümkün kılan bir hizmet olarak kötü amaçlı yazılım yüklemesi sunan yaygın bir bilgi çalan kötü amaçlı yazılımdır.
İlk olarak 2007’de keşfedilen modüler kötü amaçlı yazılım “TrickBot” gibi bir bankacılık truva atı olarak ilk köklerinden, veri hırsızlığı yapabilen ve fidye yazılımı da dahil olmak üzere ikinci aşama yükler için bir dağıtım mekanizması görevi gören bir İsviçre Çakısı haline geldi. Ayrıca, bir E-posta Toplayıcı bileşeni aracılığıyla Outlook istemcilerinden kurbanların meşru e-posta ileti dizilerini ele geçirme ve bu ileti dizilerini diğer makinelere bulaşmak için kimlik avı cazibesi olarak kullanma taktiği de dikkate değerdir.

Trend Micro araştırmacıları, “IMAP hizmetlerinden ve e-posta hizmet sağlayıcılarından (ESP’ler) ödün vermek veya e-posta ileti dizilerini ele geçirmek, saldırganların potansiyel bir kurbanın daha önce yazıştıkları kişilere duyduğu güvenden yararlanmalarına ve ayrıca güvenliği ihlal edilmiş bir kuruluşun kimliğine bürünmesine olanak tanır.” Ian Kenefick ve Vladimir Kropotov geçen ay detaylandırıldı. “Aslında, amaçlanan hedeflerin, tanınan bir göndericiden gelen e-postaları açma olasılığı çok daha yüksek olacaktır.”
Siber güvenlik firması tarafından 25 Mart 2021 ile 25 Ekim 2021 arasındaki yedi aylık bir süre boyunca izlenen Qakbot etkinliği, ABD, Japonya, Almanya, Hindistan, Tayvan, İtalya, Güney Kore, Türkiye, İspanya ve Fransa’nın En çok hedeflenen ülkeler, özellikle telekomünikasyon, teknoloji ve eğitim sektörlerine izinsiz girişler olduğunu gösteriyor.
Daha yakın zamanlarda, spam kampanyaları, saldırganların kurumsal ağlara ilk adımlarını atmalarını ve Qakbot ve Cobalt Strike gibi kötü niyetli yükleri virüslü sistemlere bırakmalarını sağlayan SQUIRRELWAFFLE adlı yeni bir yükleyicinin konuşlandırılmasıyla sonuçlandı.

Şimdi Microsoft’a göre, Qakbot’u içeren saldırı zincirleri, bir dizi posta göndermeden önce kötü amaçlı yazılımı dağıtmak için benimsenen yöntemlerden örneğin: bağlantılar, ekler veya gömülü görüntüler. Uzlaşmanın çeşitli aşamalarını gösteren birkaç yapı taşından oluşuyor. kimlik bilgisi hırsızlığı, e-posta hırsızlığı, yanal hareket ve Cobalt Strike işaretçilerinin ve fidye yazılımının konuşlandırılması gibi istismar faaliyetleri.
Redmond merkezli şirket, saldırganlar tarafından gönderilen Qakbot ile ilgili e-postaların zaman zaman, kimlik avı saldırılarında yaygın olarak kullanılan bir ilk erişim vektörü olan Excel 4.0 makrolarını içeren bir elektronik tablo içeren bir ZIP arşiv dosyası eki ile gelebileceğini kaydetti. Kötü amaçlı yazılımı dağıtmak için kullanılan mekanizmadan bağımsız olarak, kampanyaların ortak özelliği kötü amaçlı Excel 4.0 makrolarını kullanmalarıdır.
Microsoft Office’te makrolar varsayılan olarak kapalıyken, e-posta iletilerinin alıcılarından belgenin gerçek içeriğini görüntülemek için makroyu etkinleştirmeleri istenir. Bu, bir veya daha fazla saldırgan tarafından kontrol edilen etki alanından kötü amaçlı yükleri indirmek için saldırının bir sonraki aşamasını tetikler.
Çoğu zaman, Qakbot, daha büyük bir saldırının parçası olan ilk adımdır; tehdit aktörleri, kötü amaçlı yazılım tarafından kolaylaştırılan ilk dayanağı kullanarak ek yükler yüklemek veya yeraltı forumlarında en yüksek teklifi verene erişimi satmak için kullanır ve daha sonra bundan yararlanır. Haziran 2021’de kurumsal güvenlik şirketi Proofpoint, fidye yazılımı aktörlerinin e-posta mesajlarını izinsiz giriş yolu olarak kullanmaktan, halihazırda büyük kuruluşlara sızmış olan siber suçlu kuruluşlardan erişim satın almaya nasıl giderek daha fazla geçtiğini ortaya koydu.
Araştırmacılar, “Qakbot’un modülerliği ve esnekliği, güvenlik analistleri ve savunucuları için bir zorluk teşkil edebilir, çünkü eşzamanlı Qakbot kampanyaları, etkilenen her cihazda çarpıcı biçimde farklı görünebilir ve bu savunucuların bu tür saldırılara nasıl tepki vereceğini önemli ölçüde etkileyebilir” dedi. “Bu nedenle, Qakbot’u daha derinden anlamak, ona karşı kapsamlı ve koordineli bir savunma stratejisi oluşturmada çok önemlidir.”
Bu makale ilginizi çektiyse sizleri Mekotio Bankacılık Truva Atı makalemize davet ediyoruz: https://www.ozztech.net/siber-guvenlik/mekotio-bankacilik-truva-ati/