OzzTech - Qakbot Bankacılık Truva Atı

Qakbot Bankacılık Truva Atı

Qakbot kötü amaçlı yazılımıyla ilişkili bulaşma zincirleri, "farklı yapı taşlarına" bölünmüştür. Bu, Microsoft'un tehdidi proaktif bir şekilde etkili bir şekilde algılamaya ve engellemeye yardımcı olacağını söylediği bir çabadır.

Microsoft 365 Defender Tehdit İstihbarat Ekibi, Qakbot'u "onu kullanan birden çok tehdit aktörü grubunun ihtiyaçlarına uyacak şekilde uyarlanan özelleştirilebilir bir bukalemun" olarak adlandırdı.

Qakbot'un Gold Lagoon olarak bilinen finansal olarak motive edilmiş bir siber suç tehdidi grubunun yaratıldığına inanılıyor. Son yıllarda birçok kritik ve yaygın fidye yazılımı saldırısının habercisi haline gelen ve birçok kampanyayı mümkün kılan bir hizmet olarak kötü amaçlı yazılım yüklemesi sunan yaygın bir bilgi çalan kötü amaçlı yazılımdır.

İlk olarak 2007'de keşfedilen modüler kötü amaçlı yazılım "TrickBot" gibi bir bankacılık truva atı olarak ilk köklerinden, veri hırsızlığı yapabilen ve fidye yazılımı da dahil olmak üzere ikinci aşama yükler için bir dağıtım mekanizması görevi gören bir İsviçre Çakısı haline geldi. Ayrıca, bir E-posta Toplayıcı bileşeni aracılığıyla Outlook istemcilerinden kurbanların meşru e-posta ileti dizilerini ele geçirme ve bu ileti dizilerini diğer makinelere bulaşmak için kimlik avı cazibesi olarak kullanma taktiği de dikkate değerdir.

Trend Micro araştırmacıları, "IMAP hizmetlerinden ve e-posta hizmet sağlayıcılarından (ESP'ler) ödün vermek veya e-posta ileti dizilerini ele geçirmek, saldırganların potansiyel bir kurbanın daha önce yazıştıkları kişilere duyduğu güvenden yararlanmalarına ve ayrıca güvenliği ihlal edilmiş bir kuruluşun kimliğine bürünmesine olanak tanır." Ian Kenefick ve Vladimir Kropotov geçen ay detaylandırıldı. "Aslında, amaçlanan hedeflerin, tanınan bir göndericiden gelen e-postaları açma olasılığı çok daha yüksek olacaktır."

Siber güvenlik firması tarafından 25 Mart 2021 ile 25 Ekim 2021 arasındaki yedi aylık bir süre boyunca izlenen Qakbot etkinliği, ABD, Japonya, Almanya, Hindistan, Tayvan, İtalya, Güney Kore, Türkiye, İspanya ve Fransa'nın En çok hedeflenen ülkeler, özellikle telekomünikasyon, teknoloji ve eğitim sektörlerine izinsiz girişler olduğunu gösteriyor.

Daha yakın zamanlarda, spam kampanyaları, saldırganların kurumsal ağlara ilk adımlarını atmalarını ve Qakbot ve Cobalt Strike gibi kötü niyetli yükleri virüslü sistemlere bırakmalarını sağlayan SQUIRRELWAFFLE adlı yeni bir yükleyicinin konuşlandırılmasıyla sonuçlandı.

Şimdi Microsoft'a göre, Qakbot'u içeren saldırı zincirleri, bir dizi posta göndermeden önce kötü amaçlı yazılımı dağıtmak için benimsenen yöntemlerden örneğin: bağlantılar, ekler veya gömülü görüntüler. Uzlaşmanın çeşitli aşamalarını gösteren birkaç yapı taşından oluşuyor. kimlik bilgisi hırsızlığı, e-posta hırsızlığı, yanal hareket ve Cobalt Strike işaretçilerinin ve fidye yazılımının konuşlandırılması gibi istismar faaliyetleri.

Redmond merkezli şirket, saldırganlar tarafından gönderilen Qakbot ile ilgili e-postaların zaman zaman, kimlik avı saldırılarında yaygın olarak kullanılan bir ilk erişim vektörü olan Excel 4.0 makrolarını içeren bir elektronik tablo içeren bir ZIP arşiv dosyası eki ile gelebileceğini kaydetti. Kötü amaçlı yazılımı dağıtmak için kullanılan mekanizmadan bağımsız olarak, kampanyaların ortak özelliği kötü amaçlı Excel 4.0 makrolarını kullanmalarıdır.


Microsoft Office'te makrolar varsayılan olarak kapalıyken, e-posta iletilerinin alıcılarından belgenin gerçek içeriğini görüntülemek için makroyu etkinleştirmeleri istenir. Bu, bir veya daha fazla saldırgan tarafından kontrol edilen etki alanından kötü amaçlı yükleri indirmek için saldırının bir sonraki aşamasını tetikler.

Çoğu zaman, Qakbot, daha büyük bir saldırının parçası olan ilk adımdır; tehdit aktörleri, kötü amaçlı yazılım tarafından kolaylaştırılan ilk dayanağı kullanarak ek yükler yüklemek veya yeraltı forumlarında en yüksek teklifi verene erişimi satmak için kullanır ve daha sonra bundan yararlanır. Haziran 2021'de kurumsal güvenlik şirketi Proofpoint, fidye yazılımı aktörlerinin e-posta mesajlarını izinsiz giriş yolu olarak kullanmaktan, halihazırda büyük kuruluşlara sızmış olan siber suçlu kuruluşlardan erişim satın almaya nasıl giderek daha fazla geçtiğini ortaya koydu.

Araştırmacılar, "Qakbot'un modülerliği ve esnekliği, güvenlik analistleri ve savunucuları için bir zorluk teşkil edebilir, çünkü eşzamanlı Qakbot kampanyaları, etkilenen her cihazda çarpıcı biçimde farklı görünebilir ve bu savunucuların bu tür saldırılara nasıl tepki vereceğini önemli ölçüde etkileyebilir" dedi. "Bu nedenle, Qakbot'u daha derinden anlamak, ona karşı kapsamlı ve koordineli bir savunma stratejisi oluşturmada çok önemlidir."

Bu makale ilginizi çektiyse sizleri Mekotio Bankacılık Truva Atı makalemize davet ediyoruz: https://www.ozztech.net/siber-guvenlik/mekotio-bankacilik-truva-ati/


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.