Qbot Malware กลับมาอีกครั้ง โดยมุ่งเป้าไปที่อุตสาหกรรมการบริการ

พบ Qbot Malware กลับมาอีกครั้ง ภายหลังจากที่ถูกระงับปฏิบัติการไปในเดือนสิงหาคม 2023 โดยหน่วยงานบังคับใช้กฎหมายนานาชาติที่เรียกว่า Operation Duck Hunt โดยได้เข้าถึงเซิร์ฟเวอร์ของผู้ดูแลระบบของ QakBot และโครงสร้างพื้นฐานของ Botnet ซึ่งภายหลังจากสามารถเข้าถึง encryption key ของ Botnet ที่ใช้สำหรับการสื่อสารระหว่าง C2 Server กับ Botnet เพื่อส่ง custom Windows DLL ไปยังอุปกรณ์ที่ถูกโจมตี ทาง FBI ก็ได้ปิดระบบของ Qbot ลง ตั้งแต่นั้นมาก็ไม่พบรายงานการโจมตีของ Qbot อีกเลย จนกระทั่งพบการกลับมาของแคมเปญ Qbot ใหม่อีกครั้งในวันที่ 11 ธันวาคม 2023

การกลับมาของ Qbot

Microsoft แจ้งเตือนว่าได้พบการโจมตี phishing campaign ของ QakBot กลับมาอีกครั้ง โดยได้ปลอมเป็นอีเมลจากพนักงาน IRS ซึ่งพบการโจมตีของแคมเปญดังกล่าวตั้งแต่วันที่ 12 ธันวาคม ทั้งนี้ Microsoft พบว่าแคมเปญการโจมตีของ Qbot ได้มุ่งเป้าหมายไปยังอุตสาหกรรมทางด้านการบริการ

โดยสิ่งที่ถูกแนบมากับอีเมลคือไฟล์ PDF ที่เป็นอันตราย ที่ปลอมแปลงเป็นรายชื่อที่ระบุว่า "Document preview is not available," และแจ้งให้เป้าหมายดาวน์โหลดไฟล์ PDF เพื่อเปิดดูเอกสาร ทั้งนี้เมื่อเป้าหมายทำการดาวน์โหลด ไฟล์ MSI จะถูกติดตั้ง เมื่อติดตั้งเสร็จสิ้นก็จะทำการเรียกใช้งาน Qakbot malware DLL ลงใน memory

รวมถึง Microsoft ได้พบว่า DLL ดังกล่าวถูกสร้างขึ้นมาในวันที่ 11 ธันวาคม 2023 ซึ่งเป็นวันเดียวกับที่เริ่มพบ phishing campaign โดยใช้ชื่อแคมเปญว่า “tchk06” และมี C2 Server ดังนี้ : 45[.]138[.]74[.]191:443 และ 65[.]108[.]218[.]24:443 รวมถึงยังพบว่าเพย์โหลดของ Qakbot ยังได้ถูกตั้งค่าด้วยเวอร์ชัน 0x500 ซึ่งไม่เคยถูกพบมาก่อน แสดงถึงการพัฒนาของ Qakbot

ทั้งนี้นักวิจัยด้านความปลอดภัย Pim Trouerbach และ Tommy Madjar ยังได้ยืนยันว่าเพย์โหลดของ Qakbot ที่กำลังถูกใช้ในการโจมตีอยู่นั้นเป็นเวอร์ชันใหม่ที่มีการเปลี่ยนแปลงอัปเดตเพิ่มขึ้นเล็กน้อยใน QakBot DLL ใหม่ รวมถึงการใช้ AES เพื่อถอดรหัสสตริงแทนที่จะเป็น XOR แบบในเวอร์ชันก่อนหน้านี้ แต่นักวิจัยยังพบว่าเวอร์ชันใหม่ยังอยู่ระหว่างการพัฒนา เนื่องจากยังมีข้อผิดพลาดบางประการอยู่ สิ่งเหล่านี้แสดงให้เห็นถึงความพยายามในการกลับมาของ Qbot ดังนั้นผู้ดูแลระบบจึงควรเฝ้าระวังการโจมตีจาก phishing email อย่างสม่ำเสมอ

Qbot malware คืออะไร

QakBot หรือที่รู้จักในชื่อ Qbot เริ่มต้นจากการเป็น banking trojan ในปี 2021 โดยกลุ่ม Hacker ได้พัฒนามัลแวร์ดังกล่าวเพื่อขโมยข้อมูล credentials ของธนาคาร คุกกี้ของเว็บไซต์ และข้อมูลบัตรเครดิต เพื่อการฉ้อโกงทางการเงิน ต่อมา Qbot ได้ถูกพัฒนาเป็น malware-as-a-Service โดยร่วมมือกับ Hacker กลุ่มอื่น ๆ เพื่อนำมาใช้ในการเข้าถึงเครือข่ายในเบื้องต้นสำหรับการโจมตีด้วยแรนซัมแวร์ การจารกรรม หรือการขโมยข้อมูล

QakBot ใช้การโจมตีแบบ phishing campaign ที่ใช้เหยื่อล่อหลากหลายรูปแบบ รวมถึงการโจมตีด้วยอีเมลตอบกลับ โดยใช้อีเมลที่ถูกแฮ็กในการโจมตี แล้วตอบกลับด้วยข้อความของตนเอง และแนบเอกสารที่เป็นอันตราย หรือลิงก์เพื่อดาวน์โหลดไฟล์ที่เป็นอันตรายซึ่งจะติดตั้งมัลแวร์ Qakbot บนอุปกรณ์ของเป้าหมาย เช่น เอกสาร Word หรือ Excel ที่มี macro อันตราย, OneNote ไฟล์ที่มีไฟล์ฝังอยู่, ไฟล์แนบ ISO พร้อมไฟล์ปฏิบัติการ และ Windows shortcut บางส่วนยังได้รับการออกแบบให้สามารถโจมตีผ่านช่องโหว่ Zero-day ใน Windows ได้อีกด้วย

เมื่อเป้าหมายทำการติดตั้งไฟล์อันตรายแล้ว มัลแวร์จะแทรก DLL เข้าไปใน Process ของ Windows ปกติ เช่น wermgr.

โทรจัน Qakbot หรือที่เรียกว่า QBot หรือ Pinkslipbot เป็นโทรจันที่ถูกใช้กลุ่มผู้ไม่หวังดีที่มีเป้าหมายหลักในการโจมตีทางด้านธนาคารและการเงิน พบการใช้งานตั้งแต่ปี 2017 มีการแพร่กระจายผ่าน payload เชื่อมต่อ Server C&C และ ปัจจุบันเริ่มมีการใช้งานไปในวงกว้างมากขึ้น

นักวิจัยด้านความปลอดภัย Alien Labs สังเกตเห็นแคมเปญที่พึ่งเกิดขึ้นใหม่ซึ่งเหยื่อที่ตกเป็นเป้าหมายด้วยอีเมลล์ล่อลวงที่เป็นอันตราย จากผู้รับที่มีความน่าเชื่อถือ หรือมีการติดต่อสื่อสารระหว่างกันอยู่แล้ว

โดย email account และข้อมูลภายในเมล์ที่ถูกขโมยออกไป สามารถสร้างผลกระทบได้ตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ ซึ่งหลายๆองค์กรสามารถถูกกำหนดเป็นเป้าหมาย จาก email ของผู้ตกเป็นเหยื่อก่อนหน้า

เมื่อเปิดไฟล์ที่เป็นอันตราย โดยสถานะไฟล์จะถูกเรียกว่า DocuSign โดยซอฟต์แวร์ยอดนิยมที่ใช้ในการแพร่กระจาย malicious คือ Excel ใช้ประโยชน์จาก Macros Excel 4.0 (XML macros) ทำการซ่อน sheets ดาวน์โหลด QakBot และ payload จากอินเทอเน็ตเชื่อมต่อกับเซิร์ฟเวอร์ผู้โจมตี ก่อนที่จะเข้าสู่ Payload หลัก QakBot loader จะทำการทดสอบสิ่งที่เกิดขึ้นกับเครื่องที่ติดตั้งอยู่เพื่อเลือกว่าจะทำการดาวน์โหลดไฟล์อะไรมาติดตั้งบนเครื่องของเหยื่อต่อไป โดย Qakbot จะมีการเช็คสภาพแวดล้อมของเครื่องว่าเป็น Virtual Machine และหาว่าเครื่องดังกล่าวมีการลงโปรแกรม Antivirus หรือ common security researcher tools ไว้ภายในเครื่องหรือไม่

เพื่อให้การตรวจจับและวิเคราะห์ยากขึ้น QakBot จะเข้ารหัส String และถอดรหัสเมื่อมีการรันโปรเซส เมื่อดำเนินการเสร็จ จะดำเนินการลบข้อมูลออกจาก memory ทันที จุดเด่นของ โทรจัน QakBot ที่ใช้ในการ phishing ในอีเมล์ปลอมจะมีข้อมูล เช่นการจัดส่งใบสั่งงานคำขอเร่งด่วนใบแจ้งหนี้การอ้างสิทธิ์ ฯลฯ อีเมลฟิชชิ่งจะมีรูปแบบสลับกันระหว่าง ไฟล์แนบและลิงค์ QakBot มักใช้เป็นทางคล้ายกับ TrickBot หรือ Emotet ซึ่งนำไปสู่การใช้ประโยชน์ในการติดตั้ง Ransomware ต่อไป

ที่มา : ehackingnews

FBI แจ้งเตือน Ransomware สายพันธุ์ใหม่ ProLock แพร่กระจายผ่านโทรจัน Qakbot

FBI ได้ออกแจ้งเตือนด้านความปลอดภัยเกี่ยวกับแรนซัมแวร์สายพันธุ์ใหม่ที่เรียกว่า ProLock ซึ่งถูกนำไปใช้ในการโจมตีองค์กรด้านการดูแลสุขภาพ, หน่วยงานราชการ, สถาบันการเงินและองค์กรค้าปลีก

FBI กล่าวว่า ProLock ถูกพบครั้งเเรกในเดือนมีนาคม 2563 แรนซัมแวร์ ProLock สามารถเข้าถึงเครือข่ายที่ถูกแฮกผ่านโทรจัน Qakbot และจะแพร่กระจายไปสู่ระบบที่อยู่ในเครือข่าย ล่าสุดบริษัทผู้ให้บริการเอทีเอ็มยักษ์ใหญ่ของสหรัฐ Diebold Nixdorf ก็ถูกแรนซัมแวร์ ProLock โจมตีด้วยเช่นกันมื่อปลายเดือนเมษายนที่ผ่านมา

FBI ยังเตือนผู้ที่ตกเป็นเหยื่อแรนซัมแวร์ ProLock ที่จ่ายเงินค่าไถ่เพื่อถอดรหัสไฟล์ว่า ตัวถอดรหัสที่เจ้าของแรนซัมแวร์ให้กับผู้จ่ายเงินค่าไถ่นั้นทำงานไม่สมบูรณ์และอาจส่งผลให้ไฟล์ที่ทำการกู้คืนนั้นเสียหายได้

FBI และ Group-IB ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูเเลระบบควรระมัดระวังในการใช้งานอินเตอร์เน็ตและทำการอัพเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอ ถ้าหากพบว่าคอมพิวเตอร์ภายในองค์กรติดเชื้อมัลแวร์ Qakbot ให้ทำการเเยกออกจากเครือข่ายที่เหลือโดยเร็วที่สุดเพื่อป้องกันการเเพร่กระจายต่อไปในคอมพิวเตอร์ภายในเครือข่าย

ที่มา: zdnet