ozztech_logo_white

Qakbot Bankacılık Truva Atı

Qakbot kötü amaçlı yazılımıyla ilişkili bulaşma zincirleri, “farklı yapı taşlarına” bölünmüştür. Bu, Microsoft’un tehdidi proaktif bir şekilde etkili bir şekilde algılamaya ve engellemeye yardımcı olacağını söylediği bir çabadır.

Microsoft 365 Defender Tehdit İstihbarat Ekibi, Qakbot’u “onu kullanan birden çok tehdit aktörü grubunun ihtiyaçlarına uyacak şekilde uyarlanan özelleştirilebilir bir bukalemun” olarak adlandırdı.

Qakbot’un Gold Lagoon olarak bilinen finansal olarak motive edilmiş bir siber suç tehdidi grubunun yaratıldığına inanılıyor. Son yıllarda birçok kritik ve yaygın fidye yazılımı saldırısının habercisi haline gelen ve birçok kampanyayı mümkün kılan bir hizmet olarak kötü amaçlı yazılım yüklemesi sunan yaygın bir bilgi çalan kötü amaçlı yazılımdır.

İlk olarak 2007’de keşfedilen modüler kötü amaçlı yazılım “TrickBot” gibi bir bankacılık truva atı olarak ilk köklerinden, veri hırsızlığı yapabilen ve fidye yazılımı da dahil olmak üzere ikinci aşama yükler için bir dağıtım mekanizması görevi gören bir İsviçre Çakısı haline geldi. Ayrıca, bir E-posta Toplayıcı bileşeni aracılığıyla Outlook istemcilerinden kurbanların meşru e-posta ileti dizilerini ele geçirme ve bu ileti dizilerini diğer makinelere bulaşmak için kimlik avı cazibesi olarak kullanma taktiği de dikkate değerdir.

Trend Micro araştırmacıları, “IMAP hizmetlerinden ve e-posta hizmet sağlayıcılarından (ESP’ler) ödün vermek veya e-posta ileti dizilerini ele geçirmek, saldırganların potansiyel bir kurbanın daha önce yazıştıkları kişilere duyduğu güvenden yararlanmalarına ve ayrıca güvenliği ihlal edilmiş bir kuruluşun kimliğine bürünmesine olanak tanır.” Ian Kenefick ve Vladimir Kropotov geçen ay detaylandırıldı. “Aslında, amaçlanan hedeflerin, tanınan bir göndericiden gelen e-postaları açma olasılığı çok daha yüksek olacaktır.”

Siber güvenlik firması tarafından 25 Mart 2021 ile 25 Ekim 2021 arasındaki yedi aylık bir süre boyunca izlenen Qakbot etkinliği, ABD, Japonya, Almanya, Hindistan, Tayvan, İtalya, Güney Kore, Türkiye, İspanya ve Fransa’nın En çok hedeflenen ülkeler, özellikle telekomünikasyon, teknoloji ve eğitim sektörlerine izinsiz girişler olduğunu gösteriyor.

Daha yakın zamanlarda, spam kampanyaları, saldırganların kurumsal ağlara ilk adımlarını atmalarını ve Qakbot ve Cobalt Strike gibi kötü niyetli yükleri virüslü sistemlere bırakmalarını sağlayan SQUIRRELWAFFLE adlı yeni bir yükleyicinin konuşlandırılmasıyla sonuçlandı.

Şimdi Microsoft’a göre, Qakbot’u içeren saldırı zincirleri, bir dizi posta göndermeden önce kötü amaçlı yazılımı dağıtmak için benimsenen yöntemlerden örneğin: bağlantılar, ekler veya gömülü görüntüler. Uzlaşmanın çeşitli aşamalarını gösteren birkaç yapı taşından oluşuyor. kimlik bilgisi hırsızlığı, e-posta hırsızlığı, yanal hareket ve Cobalt Strike işaretçilerinin ve fidye yazılımının konuşlandırılması gibi istismar faaliyetleri.

Redmond merkezli şirket, saldırganlar tarafından gönderilen Qakbot ile ilgili e-postaların zaman zaman, kimlik avı saldırılarında yaygın olarak kullanılan bir ilk erişim vektörü olan Excel 4.0 makrolarını içeren bir elektronik tablo içeren bir ZIP arşiv dosyası eki ile gelebileceğini kaydetti. Kötü amaçlı yazılımı dağıtmak için kullanılan mekanizmadan bağımsız olarak, kampanyaların ortak özelliği kötü amaçlı Excel 4.0 makrolarını kullanmalarıdır.


Microsoft Office’te makrolar varsayılan olarak kapalıyken, e-posta iletilerinin alıcılarından belgenin gerçek içeriğini görüntülemek için makroyu etkinleştirmeleri istenir. Bu, bir veya daha fazla saldırgan tarafından kontrol edilen etki alanından kötü amaçlı yükleri indirmek için saldırının bir sonraki aşamasını tetikler.

Çoğu zaman, Qakbot, daha büyük bir saldırının parçası olan ilk adımdır; tehdit aktörleri, kötü amaçlı yazılım tarafından kolaylaştırılan ilk dayanağı kullanarak ek yükler yüklemek veya yeraltı forumlarında en yüksek teklifi verene erişimi satmak için kullanır ve daha sonra bundan yararlanır. Haziran 2021’de kurumsal güvenlik şirketi Proofpoint, fidye yazılımı aktörlerinin e-posta mesajlarını izinsiz giriş yolu olarak kullanmaktan, halihazırda büyük kuruluşlara sızmış olan siber suçlu kuruluşlardan erişim satın almaya nasıl giderek daha fazla geçtiğini ortaya koydu.

Araştırmacılar, “Qakbot’un modülerliği ve esnekliği, güvenlik analistleri ve savunucuları için bir zorluk teşkil edebilir, çünkü eşzamanlı Qakbot kampanyaları, etkilenen her cihazda çarpıcı biçimde farklı görünebilir ve bu savunucuların bu tür saldırılara nasıl tepki vereceğini önemli ölçüde etkileyebilir” dedi. “Bu nedenle, Qakbot’u daha derinden anlamak, ona karşı kapsamlı ve koordineli bir savunma stratejisi oluşturmada çok önemlidir.”

Bu makale ilginizi çektiyse sizleri Mekotio Bankacılık Truva Atı makalemize davet ediyoruz: https://www.ozztech.net/siber-guvenlik/mekotio-bankacilik-truva-ati/

İlginizi Çekebilecek Makaleler​

Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »
.OrianaLOG Nedir?

.OrianaLOG Nedir? ve Ne işe Yarar?  .OrianaLOG bir sistem veya uygulamanın çalışması sırasında oluşan log (kayıt) dosyalarının toplanması, depolanması, analiz edilmesi ve incelenmesine olanak sağlayan bir

Devamı »