Qbot Malware กลับมาอีกครั้ง โดยมุ่งเป้าไปที่อุตสาหกรรมการบริการ
พบ Qbot Malware กลับมาอีกครั้ง ภายหลังจากที่ถูกระงับปฏิบัติการไปในเดือนสิงหาคม 2023 โดยหน่วยงานบังคับใช้กฎหมายนานาชาติที่เรียกว่า Operation Duck Hunt โดยได้เข้าถึงเซิร์ฟเวอร์ของผู้ดูแลระบบของ QakBot และโครงสร้างพื้นฐานของ Botnet ซึ่งภายหลังจากสามารถเข้าถึง encryption key ของ Botnet ที่ใช้สำหรับการสื่อสารระหว่าง C2 Server กับ Botnet เพื่อส่ง custom Windows DLL ไปยังอุปกรณ์ที่ถูกโจมตี ทาง FBI ก็ได้ปิดระบบของ Qbot ลง ตั้งแต่นั้นมาก็ไม่พบรายงานการโจมตีของ Qbot อีกเลย จนกระทั่งพบการกลับมาของแคมเปญ Qbot ใหม่อีกครั้งในวันที่ 11 ธันวาคม 2023
การกลับมาของ Qbot
Microsoft แจ้งเตือนว่าได้พบการโจมตี phishing campaign ของ QakBot กลับมาอีกครั้ง โดยได้ปลอมเป็นอีเมลจากพนักงาน IRS ซึ่งพบการโจมตีของแคมเปญดังกล่าวตั้งแต่วันที่ 12 ธันวาคม ทั้งนี้ Microsoft พบว่าแคมเปญการโจมตีของ Qbot ได้มุ่งเป้าหมายไปยังอุตสาหกรรมทางด้านการบริการ
โดยสิ่งที่ถูกแนบมากับอีเมลคือไฟล์ PDF ที่เป็นอันตราย ที่ปลอมแปลงเป็นรายชื่อที่ระบุว่า "Document preview is not available," และแจ้งให้เป้าหมายดาวน์โหลดไฟล์ PDF เพื่อเปิดดูเอกสาร ทั้งนี้เมื่อเป้าหมายทำการดาวน์โหลด ไฟล์ MSI จะถูกติดตั้ง เมื่อติดตั้งเสร็จสิ้นก็จะทำการเรียกใช้งาน Qakbot malware DLL ลงใน memory
รวมถึง Microsoft ได้พบว่า DLL ดังกล่าวถูกสร้างขึ้นมาในวันที่ 11 ธันวาคม 2023 ซึ่งเป็นวันเดียวกับที่เริ่มพบ phishing campaign โดยใช้ชื่อแคมเปญว่า “tchk06” และมี C2 Server ดังนี้ : 45[.]138[.]74[.]191:443 และ 65[.]108[.]218[.]24:443 รวมถึงยังพบว่าเพย์โหลดของ Qakbot ยังได้ถูกตั้งค่าด้วยเวอร์ชัน 0x500 ซึ่งไม่เคยถูกพบมาก่อน แสดงถึงการพัฒนาของ Qakbot
ทั้งนี้นักวิจัยด้านความปลอดภัย Pim Trouerbach และ Tommy Madjar ยังได้ยืนยันว่าเพย์โหลดของ Qakbot ที่กำลังถูกใช้ในการโจมตีอยู่นั้นเป็นเวอร์ชันใหม่ที่มีการเปลี่ยนแปลงอัปเดตเพิ่มขึ้นเล็กน้อยใน QakBot DLL ใหม่ รวมถึงการใช้ AES เพื่อถอดรหัสสตริงแทนที่จะเป็น XOR แบบในเวอร์ชันก่อนหน้านี้ แต่นักวิจัยยังพบว่าเวอร์ชันใหม่ยังอยู่ระหว่างการพัฒนา เนื่องจากยังมีข้อผิดพลาดบางประการอยู่ สิ่งเหล่านี้แสดงให้เห็นถึงความพยายามในการกลับมาของ Qbot ดังนั้นผู้ดูแลระบบจึงควรเฝ้าระวังการโจมตีจาก phishing email อย่างสม่ำเสมอ
Qbot malware คืออะไร
QakBot หรือที่รู้จักในชื่อ Qbot เริ่มต้นจากการเป็น banking trojan ในปี 2021 โดยกลุ่ม Hacker ได้พัฒนามัลแวร์ดังกล่าวเพื่อขโมยข้อมูล credentials ของธนาคาร คุกกี้ของเว็บไซต์ และข้อมูลบัตรเครดิต เพื่อการฉ้อโกงทางการเงิน ต่อมา Qbot ได้ถูกพัฒนาเป็น malware-as-a-Service โดยร่วมมือกับ Hacker กลุ่มอื่น ๆ เพื่อนำมาใช้ในการเข้าถึงเครือข่ายในเบื้องต้นสำหรับการโจมตีด้วยแรนซัมแวร์ การจารกรรม หรือการขโมยข้อมูล
QakBot ใช้การโจมตีแบบ phishing campaign ที่ใช้เหยื่อล่อหลากหลายรูปแบบ รวมถึงการโจมตีด้วยอีเมลตอบกลับ โดยใช้อีเมลที่ถูกแฮ็กในการโจมตี แล้วตอบกลับด้วยข้อความของตนเอง และแนบเอกสารที่เป็นอันตราย หรือลิงก์เพื่อดาวน์โหลดไฟล์ที่เป็นอันตรายซึ่งจะติดตั้งมัลแวร์ Qakbot บนอุปกรณ์ของเป้าหมาย เช่น เอกสาร Word หรือ Excel ที่มี macro อันตราย, OneNote ไฟล์ที่มีไฟล์ฝังอยู่, ไฟล์แนบ ISO พร้อมไฟล์ปฏิบัติการ และ Windows shortcut บางส่วนยังได้รับการออกแบบให้สามารถโจมตีผ่านช่องโหว่ Zero-day ใน Windows ได้อีกด้วย
เมื่อเป้าหมายทำการติดตั้งไฟล์อันตรายแล้ว มัลแวร์จะแทรก DLL เข้าไปใน Process ของ Windows ปกติ เช่น wermgr.