Qakbot, также известный как Pinkslipbot или Qbot, продолжает оставаться одной из самых устойчивых угроз в мире кибербезопасности. Этот банковский троян, появившийся еще в 2007 году, за последние годы превратился в мощный инструмент для распространения вредоносного и выкупного ПО. Его операторы постоянно совершенствуют методы атак, адаптируясь к новым технологиям защиты и меняя тактику, чтобы оставаться незамеченными. В 2023 году Qakbot продемонстрировал новые способы проникновения в системы, включая использование файлов OneNote и методов HTML-контрабанды, что делает его еще более опасным.
Описание
Изначально Qakbot распространялся через фишинговые письма с вредоносными вложениями, такими как документы Microsoft Office с макросами. Однако после того, как Microsoft объявила о блокировке макросов по умолчанию, злоумышленники быстро переключились на другие форматы. В начале 2023 года исследователи Black Lotus Labs зафиксировали активное использование файлов OneNote, которые обходят защитные механизмы Mark of the Web (MOTW). Позже ботнет стал применять HTML-контрабанду - метод, при котором вредоносный код скрывается внутри легитимных веб-страниц, что усложняет его обнаружение.
Одной из ключевых особенностей Qakbot является его способность быстро менять инфраструктуру командования и управления (C2). В отличие от многих других ботнетов, которые полагаются на виртуальные частные серверы (VPS), Qakbot предпочитает использовать взломанные веб-серверы и жилые IP-адреса, что делает его более устойчивым к блокировкам. Исследования показали, что около 25% серверов C2 остаются активными всего один день, а 50% - не более недели. Это означает, что операторы постоянно обновляют свою инфраструктуру, что значительно затрудняет борьбу с угрозой.
Еще одной особенностью Qakbot является его способность превращать зараженные компьютеры в прокси-серверы или узлы C2. После первоначального заражения бот быстро передает значительную часть данных, а затем может быть перепрофилирован для других задач, таких как участие в DDoS-атаках или продажа доступа к зараженным системам. Это делает Qakbot не просто банковским трояном, а многофункциональным инструментом киберпреступности.
Black Lotus Labs также обнаружила, что Qakbot использует дополнительный сервер обратного соединения (backconnect), который взаимодействует только с ботами. Этот сервер, вероятно, служит для создания прокси-сетей, которые могут использоваться для скрытия трафика или продажи другим злоумышленникам. Интересно, что некоторые боты после подключения к этому серверу начинают взаимодействовать с серверами C2 второго уровня, что указывает на сложную иерархию управления ботнетом.
Несмотря на периодические спады активности, Qakbot остается серьезной угрозой. Операторы ботнета часто приостанавливают спам-кампании на несколько месяцев, но затем возвращаются с обновленными методами атак. Например, в 2022 году активность снижалась летом, но к концу года возобновилась с новой силой. В 2023 году аналогичная тенденция наблюдалась в марте, когда после паузы ботнет снова активизировался.
Борьба с Qakbot осложняется тем, что его серверы C2 часто размещаются в странах, где правоохранительные органы не могут эффективно противодействовать киберпреступности. Кроме того, использование жилых IP-адресов и постоянная смена инфраструктуры делают традиционные методы блокировки малоэффективными. Однако исследователи продолжают отслеживать активность ботнета, используя телеметрию и поведенческий анализ, чтобы предупреждать новые атаки до их начала.
В целом, Qakbot остается одним из самых адаптивных и живучих ботнетов в истории. Его операторы демонстрируют высокий уровень технической подготовки, постоянно меняя тактику и используя новые уязвимости. Для защиты от этой угрозы организациям необходимо не только обновлять системы безопасности, но и повышать осведомленность сотрудников о фишинговых атаках, поскольку социальная инженерия остается основным вектором заражения.
Индикаторы компрометации
IPv4
- 188.127.231.177
- 62.204.41.187
- 62.204.41.188
- 94.103.85.86
