Qbot (หรือที่รู้จักกันในชื่อ QakBot) ซึ่งในอดีตถูกใช้เป็น Banking Trojan แต่ต่อมาได้พัฒนาเป็นมัลแวร์ที่สามารถใช้เพื่อเข้าถึงเครือข่ายขององค์กร การเข้าถึงทำได้โดยการ dropping payloads เช่น Cobalt Strike, Brute Ratel และมัลแวร์อื่น ๆ ที่ใช้เพื่อให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ได้
โดย QBot มีการแพร่กระจายผ่านแคมเปญฟิชชิงโดยการใช้ไฟล์ PDF และ Windows Script Files (WSF) เพื่อทำการติดตั้งมัลแวร์บน Windows เมื่อสามารถเข้าถึงเครื่องเหยื่อได้ ผู้โจมตีจะทำการโจมตีต่อไปยังระบบอื่น ๆ ในเครือข่ายของเหยื่อเพื่อขโมยข้อมูล และติดตั้งแรนซัมแวร์ในที่สุด
ในเดือนเมษายนที่ผ่านมา นักวิจัยด้านความปลอดภัยจาก ProxyLife และกลุ่ม Cryptolaemus ได้เริ่มบันทึกวิธีการแพร่กระจายผ่านทางอีเมลของ Qbot ซึ่งเป็นการใช้ไฟล์แนบ PDF ที่จะดาวน์โหลดไฟล์ Windows Script เพื่อติดตั้ง Qbot บนอุปกรณ์ของเหยื่อ
โดย QBot จะถูกเผยแพร่ผ่านอีเมลฟิชชิ่งในลักษณะ reply-chain เมื่อผู้โจมตีเข้าถึงอีเมลของเหยื่อรายใดรายหนึ่งได้ จะใช้วิธีการตอบกลับอีเมลด้วยการแนบลิงก์ หรือไฟล์แนบที่เป็นอันตราย
การใช้การตอบกลับอีเมล เป็นการพยายามทำให้อีเมลฟิชชิ่งน่าสงสัยน้อยลง เนื่องจากเป็นการตอบกลับที่ทำให้ดูเป็นอีเมลที่กำลังอยู่ในการสนทนาอยู่ โดยอีเมลฟิชชิงสามารถใช้ภาษาที่หลากหลาย แสดงให้เห็นว่าเป็นแคมเปญสำหรับการกระจายมัลแวร์ได้ทั่วโลก
โดยสิ่งที่แนบมากับอีเมลเหล่านี้คือไฟล์ PDF ชื่อ 'CancelationLetter-[number].pdf ' ซึ่งเมื่อเปิดแล้วจะแสดงข้อความว่า "เอกสารนี้มีไฟล์ที่มีการป้องกัน หากต้องการแสดง ให้คลิกที่ปุ่ม "เปิด" "
อย่างไรก็ตามเมื่อเหยื่อคลิกปุ่มเปิดแล้ว ไฟล์ ZIP ที่ภายในมีไฟล์ Windows Script (wsf) จะถูกดาวน์โหลดมาแทน
นอกจากไฟล์สคริปต์ของ Windows ที่ลงท้ายด้วยนามสกุล .wsf ยังมี JScript และ VBScript ซึ่งจะถูกเรียกใช้งานเมื่อไฟล์ถูกดับเบิลคลิกอีกด้วย โดยไฟล์ WSF ที่ใช้ในแคมเปญการกระจายมัลแวร์ QBot มีความซับซ้อนเป็นอย่างมาก โดยมีเป้าหมายในการเรียกใช้สคริปต์ PowerShell บนเครื่องของเหยื่อ 
PowerShell สคริปต์ที่จะดำเนินการผ่านไฟล์ WSF จะดาวน์โหลดไฟล์ DLL จาก URL ซึ่งแต่ละ URL จะถูกลองใช้จนกว่าไฟล์จะถูกดาวน์โหลดไปยังโฟลเดอร์ %TEMP% ได้สำเร็จ 
เมื่อ QBot DLL ถูกประมวลผลแล้ว จะเรียกใช้คำสั่ง PING เพื่อตรวจสอบว่ามีการเชื่อมต่ออินเทอร์เน็ตหรือไม่ จากนั้นมัลแวร์จะ inject ตัวเองเข้าไปในโปรแกรม Windows wermgr.exe (Windows error Manager) และทำงานอย่างเงียบ ๆ 
การติดมัลแวร์ QBot สามารถนำไปสู่การโจมตีเพื่อสร้างความเสียหายบนเครือข่ายขององค์กร ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องเข้าใจว่ามัลแวร์ถูกแพร่กระจายได้อย่างไร
ปัจจุบันพบว่า Ransomware as a service (RaaS) หลายแห่ง รวมถึง BlackBasta, REvil, PwnLocker, Egregor, ProLock และ MegaCortex ใช้มัลแวร์ Qbot เพื่อเข้าถึงเครือข่ายขององค์กรของเหยื่อ
นักวิจัยจาก The DFIR Report ระบุว่า QBot ใช้เวลาเพียงประมาณ 30 นาทีในการขโมยข้อมูลที่มีความสำคัญ ภายหลังจากการติดมัลแวร์ได้ในครั้งแรก ที่แย่ไปกว่านั้นคือ มัลแวร์นี้ใช้เวลาเพียง 1 ชม. ในการแพร่กระจายไปยัง workstation อื่น ๆ ที่อยู่ใกล้เคียงกันได้
ดังนั้นหากองค์กรติดมัลแวร์ QBot สิ่งสำคัญคือต้องทำการต้องออฟไลน์ระบบโดยเร็วที่สุด และรีบทำการประเมินเพื่อหาพฤติกรรมที่ผิดปกติอื่น ๆ บนเครือข่าย
ที่มา : bleepingcomputer
You must be logged in to post a comment.