Qbot malware returns in campaign targeting hospitality industry

Qbot Malware กลับมาอีกครั้ง โดยมุ่งเป้าไปที่อุตสาหกรรมการบริการ

พบ Qbot Malware กลับมาอีกครั้ง ภายหลังจากที่ถูกระงับปฏิบัติการไปในเดือนสิงหาคม 2023 โดยหน่วยงานบังคับใช้กฎหมายนานาชาติที่เรียกว่า Operation Duck Hunt โดยได้เข้าถึงเซิร์ฟเวอร์ของผู้ดูแลระบบของ QakBot และโครงสร้างพื้นฐานของ Botnet ซึ่งภายหลังจากสามารถเข้าถึง encryption key ของ Botnet ที่ใช้สำหรับการสื่อสารระหว่าง C2 Server กับ Botnet เพื่อส่ง custom Windows DLL ไปยังอุปกรณ์ที่ถูกโจมตี ทาง FBI ก็ได้ปิดระบบของ Qbot ลง ตั้งแต่นั้นมาก็ไม่พบรายงานการโจมตีของ Qbot อีกเลย จนกระทั่งพบการกลับมาของแคมเปญ Qbot ใหม่อีกครั้งในวันที่ 11 ธันวาคม 2023

การกลับมาของ Qbot

Microsoft แจ้งเตือนว่าได้พบการโจมตี phishing campaign ของ QakBot กลับมาอีกครั้ง โดยได้ปลอมเป็นอีเมลจากพนักงาน IRS ซึ่งพบการโจมตีของแคมเปญดังกล่าวตั้งแต่วันที่ 12 ธันวาคม ทั้งนี้ Microsoft พบว่าแคมเปญการโจมตีของ Qbot ได้มุ่งเป้าหมายไปยังอุตสาหกรรมทางด้านการบริการ

โดยสิ่งที่ถูกแนบมากับอีเมลคือไฟล์ PDF ที่เป็นอันตราย ที่ปลอมแปลงเป็นรายชื่อที่ระบุว่า "Document preview is not available," และแจ้งให้เป้าหมายดาวน์โหลดไฟล์ PDF เพื่อเปิดดูเอกสาร ทั้งนี้เมื่อเป้าหมายทำการดาวน์โหลด ไฟล์ MSI จะถูกติดตั้ง เมื่อติดตั้งเสร็จสิ้นก็จะทำการเรียกใช้งาน Qakbot malware DLL ลงใน memory

รวมถึง Microsoft ได้พบว่า DLL ดังกล่าวถูกสร้างขึ้นมาในวันที่ 11 ธันวาคม 2023 ซึ่งเป็นวันเดียวกับที่เริ่มพบ phishing campaign โดยใช้ชื่อแคมเปญว่า “tchk06” และมี C2 Server ดังนี้ : 45[.]138[.]74[.]191:443 และ 65[.]108[.]218[.]24:443 รวมถึงยังพบว่าเพย์โหลดของ Qakbot ยังได้ถูกตั้งค่าด้วยเวอร์ชัน 0x500 ซึ่งไม่เคยถูกพบมาก่อน แสดงถึงการพัฒนาของ Qakbot

ทั้งนี้นักวิจัยด้านความปลอดภัย Pim Trouerbach และ Tommy Madjar ยังได้ยืนยันว่าเพย์โหลดของ Qakbot ที่กำลังถูกใช้ในการโจมตีอยู่นั้นเป็นเวอร์ชันใหม่ที่มีการเปลี่ยนแปลงอัปเดตเพิ่มขึ้นเล็กน้อยใน QakBot DLL ใหม่ รวมถึงการใช้ AES เพื่อถอดรหัสสตริงแทนที่จะเป็น XOR แบบในเวอร์ชันก่อนหน้านี้ แต่นักวิจัยยังพบว่าเวอร์ชันใหม่ยังอยู่ระหว่างการพัฒนา เนื่องจากยังมีข้อผิดพลาดบางประการอยู่ สิ่งเหล่านี้แสดงให้เห็นถึงความพยายามในการกลับมาของ Qbot ดังนั้นผู้ดูแลระบบจึงควรเฝ้าระวังการโจมตีจาก phishing email อย่างสม่ำเสมอ

Qbot malware คืออะไร

QakBot หรือที่รู้จักในชื่อ Qbot เริ่มต้นจากการเป็น banking trojan ในปี 2021 โดยกลุ่ม Hacker ได้พัฒนามัลแวร์ดังกล่าวเพื่อขโมยข้อมูล credentials ของธนาคาร คุกกี้ของเว็บไซต์ และข้อมูลบัตรเครดิต เพื่อการฉ้อโกงทางการเงิน ต่อมา Qbot ได้ถูกพัฒนาเป็น malware-as-a-Service โดยร่วมมือกับ Hacker กลุ่มอื่น ๆ เพื่อนำมาใช้ในการเข้าถึงเครือข่ายในเบื้องต้นสำหรับการโจมตีด้วยแรนซัมแวร์ การจารกรรม หรือการขโมยข้อมูล

QakBot ใช้การโจมตีแบบ phishing campaign ที่ใช้เหยื่อล่อหลากหลายรูปแบบ รวมถึงการโจมตีด้วยอีเมลตอบกลับ โดยใช้อีเมลที่ถูกแฮ็กในการโจมตี แล้วตอบกลับด้วยข้อความของตนเอง และแนบเอกสารที่เป็นอันตราย หรือลิงก์เพื่อดาวน์โหลดไฟล์ที่เป็นอันตรายซึ่งจะติดตั้งมัลแวร์ Qakbot บนอุปกรณ์ของเป้าหมาย เช่น เอกสาร Word หรือ Excel ที่มี macro อันตราย, OneNote ไฟล์ที่มีไฟล์ฝังอยู่, ไฟล์แนบ ISO พร้อมไฟล์ปฏิบัติการ และ Windows shortcut บางส่วนยังได้รับการออกแบบให้สามารถโจมตีผ่านช่องโหว่ Zero-day ใน Windows ได้อีกด้วย

เมื่อเป้าหมายทำการติดตั้งไฟล์อันตรายแล้ว มัลแวร์จะแทรก DLL เข้าไปใน Process ของ Windows ปกติ เช่น wermgr.

มัลแวร์ QBot แพร่กระจายผ่านไฟล์ Microsoft OneNote ในชื่อ “QakNote” [EndUser]

นักวิจัยจาก Sophos บริษัทด้านความปลอดภัยทางไซเบอร์ ได้เผยแพร่รายงานการพบแคมเปญการแพร่กระจายมัลแวร์ QBot ตัวใหม่ที่ชื่อว่า "QakNote" โดยการใช้ไฟล์แนบ '.one' ของ Microsoft OneNote ที่เป็นอันตรายเพื่อโจมตีเป้าหมายด้วย QBot banking trojan ผ่านทาง Phishing Email ที่แนบไฟล์ OneNote ที่เป็นอันตรายไว้

โดยแคมเปญดังกล่าวถูกค้นพบเมื่อเดือนมกราคม 2023 โดยสืบเนื่องจากการที่ Microsoft ได้ปิดการใช้งานการเรียกใช้คำสั่ง Macro ใน Microsoft Office เป็นค่าเริ่มต้น จึงทำให้เหล่า Hacker ต้องใช้วิธีการอื่นในการโจมตีเหยื่อ

ซึ่ง Hacker สามารถแนบไฟล์ได้เกือบทุกชนิดใน OneNote รวมถึงไฟล์แนบ VBS หรือไฟล์ LNK ซึ่งทำให้เพย์โหลดที่เป็นอันตรายจะถูกเรียกใช้งาน เมื่อเหยื่อดับเบิลคลิกที่ไฟล์แนบที่อยู่ใน OneNote Notebook อย่างไรก็ตามเหยื่อยังจำเป็นต้องคลิกที่จุดใดจุดหนึ่งเพื่อเปิดไฟล์แนบที่ฝังไว้ ทำให้โดยปกติผู้โจมตีจะใช้ปุ่ม 'Double Click to View File' หรือใช้ข้อความอื่นล่อลวงให้เหยื่อกดปุ่ม

Qbot (หรือที่รู้จักกันในนาม QakBot) เป็น banking trojan ที่ได้ถูกพัฒนาจนกลายเป็นมัลแวร์ที่เชี่ยวชาญในการเข้าถึงอุปกรณ์ได้หลากหลาย ทำให้ Hacker สามารถดาวน์โหลดมัลแวร์เพิ่มเติมในเครื่องที่ถูกโจมตี และขโมยข้อมูล รวมถึงติดตั้งแรนซัมแวร์ หรือการโจมตีอื่น ๆ ในเครือข่ายของเป้าหมายได้

QakNote campaign

นักวิจัยจาก Sophos ได้พบว่ากลุ่ม QBot ได้เริ่มโจมตีด้วยแคมเปญใหม่นี้ ตั้งแต่วันที่ 31 มกราคม 2023 ที่ผ่านมา โดยการใช้ไฟล์ OneNote ที่มีแอปพลิเคชัน HTML ที่ฝังไฟล์ HTA ซึ่งจะดาวน์โหลดเพย์โหลดของมัลแวร์ QBot เข้ามาในเครื่องเป้าหมาย เช่นเดียวกับนักวิจัยของ Cynet ที่ได้เผยแพร่การค้นพบ QakNote campaign บน Twitter เมื่อวันที่ 31 มกราคม 2023 เช่นเดียวกัน

โดยสคริปต์ในไฟล์ HTA จะใช้แอปพลิเคชัน curl.

บริษัทผู้ให้บริการด้านอาหาร Edward Don โดนโจมตีโดย ransomware

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัท Edward Don ได้รับความเสียหายจากการโจมตีด้วย ransomware ทำให้ทั้งบริษัทต้องปิดเครือข่ายบางส่วนเพื่อป้องกันการแพร่กระจายของ ransomware โดย Edward Don เป็นหนึ่งในผู้จัดจำหน่ายและให้บริการด้านอาหารรายใหญ่ที่สุด เช่น อุปกรณ์ในครัวหรือบาร์ และเครื่องใช้บนโต๊ะอาหาร เป็นต้น (more…)