Новости Затишье перед бурей: операторы QBot готовятся к сентябрьскому всплеску активности

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Злоумышленники развернули 15 новых серверов управления и контроля.


iqdk7b5r70q4l23e2kzj79st2cn3zddp.jpg


Операторы вредоносной программы QakBot (также известной как QBot) развернули 15 новых C2-серверов в конце июня 2023 года, Для просмотра ссылки Войди или Зарегистрируйся эксперты компании Team Cymru .

Вредоносная инфраструктура QBot была впервые замечена исследователями ещё в конце 2007 года. С тех пор QBot претерпел множество обновлений и модернизаций, но до сих пор неизменно продолжает представлять угрозу для пользователей и организаций по всему миру.

Всего два месяца назад Для просмотра ссылки Войди или Зарегистрируйся о том, что 25% Для просмотра ссылки Войди или Зарегистрируйся QBot активны всего один день для обеспечения повышенной скрытности и адаптивности ботнета . QBot также широко известен тем, что каждое лето его операторы делают перерыв в рассылке спама, после чего вредонос возвращается в сентябре с мощной атакой.

В этом году рассылка прекратилась 22 июня. Однако киберпреступники далеко не отдыхают. Они используют это время с пользой, чтобы модернизировать инфраструктуру и инструменты, считают эксперты.

C2-сеть QBot, как и у Emotet и IcedID, имеет многоуровневую архитектуру. Причём C2-серверы 1-го и 2-го уровня расположены на территории разных стран, среди которых Индия, США и даже Россия.

По данным Team Cymru, количество активных C2 серверов 1-го уровня значительно сократилось с момента последнего наблюдения. Во многом это результат блокировки серверов 2-го уровня, проведённой экспертами Black Lotus Labs в мае этого года.

Помимо 15 новых C2-серверов, о чём мы упомянули в начале новости, активны ещё 8 старых серверов. Шесть из них работают с начала июня, а оставшиеся два появились ближе к июлю.

Анализ трафика показывает, что всплеск активности серверов 2-го уровня часто следует за пиком на серверах 1-го уровня. Это говорит о том, что злоумышленники используют заражённые компьютеры в качестве промежуточных серверов для сокрытия своих действий.

По мнению экспертов, отключение серверов верхнего уровня эффективно защищает пользователей, не давая вредоносному ПО получать команды для дальнейших атак.

Интересно будет посмотреть, успеют ли специалисты безопасности предпринять что-то до сентября и хотя бы частично нарушить вредоносную инфраструктуру знаменитого ботнета, или скоро интернет-пользователей ждёт очередная мощная спам-атака, способная передать их компьютеры под контроль хакеров.
 
Источник новости
www.securitylab.ru

Похожие темы