25 августа ФБР совместно с международными партнерами провело скоординированную операцию по разрушению инфраструктуры QakBot по всему миру. В результате операции по пресечению деятельности инфраструктуры QakBot был осуществлен захват ботнета, в результате которого была разорвана связь между компьютерами жертв и командно-контрольными (C2) серверами QakBot.
QakBot, известный также под названиями Qbot, Quackbot, Pinkslipbot и TA570, ответственен за тысячи заражений вредоносным ПО по всему миру. QakBot стал предшественником значительного числа компьютерных вторжений, включая вымогательство и компрометацию учетных записей пользователей в финансовом секторе. Существуя как минимум с 2008 года, QakBot входит в глобальную цепочку поставок киберпреступников и имеет глубокие связи с криминальной экосистемой. Изначально QakBot использовался как банковский троян для кражи банковских учетных данных с целью компрометации счетов. В большинстве случаев он распространялся через фишинговые кампании, содержащие вредоносные вложения или ссылки для загрузки вредоносной программы, которая, попадая в сеть жертвы, сохранялась в памяти.
С момента своего появления в качестве банковского трояна QakBot превратился в многоцелевой ботнет и вариант вредоносного ПО, предоставляющий угрозам широкий спектр возможностей, включая проведение разведки, латеральное перемещение, сбор и утечку данных, а также доставку на пораженные устройства других вредоносных полезных нагрузок, включая программы-вымогатели. QakBot сохраняет устойчивость в цифровой среде благодаря своей модульной природе. Доступ к пораженным QakBot устройствам (жертвам) через скомпрометированные учетные данные часто продается для достижения целей угрожающего субъекта, доставившего QakBot.
Indicators of Compromise
IPv4
- 185.4.67.6
- 185.81.114.188
- 188.127.242.119
- 188.127.242.178
- 188.127.243.130
- 188.127.243.133
- 188.127.243.145
- 188.127.243.147
- 188.127.243.148
- 188.127.243.193
- 188.241.58.140
- 190.2.143.38
- 193.201.9.93
- 193.29.187.41
- 193.29.187.57
- 23.236.181.102
- 45.84.224.23
- 46.151.30.109
- 51.161.202.232
- 51.195.49.228
- 51.38.62.181
- 51.38.62.182
- 62.141.42.36
- 85.14.243.111
- 87.117.247.41
- 89.163.212.111
- 94.103.85.86
- 94.198.50.147
- 94.198.50.210
- 94.198.51.202
- 94.198.53.17
- 95.211.172.108
- 95.211.172.109
- 95.211.172.6
- 95.211.172.7
- 95.211.172.86
- 95.211.198.177
- 95.211.250.117
- 95.211.250.97
- 95.211.250.98
- 95.211.95.14
