Eksperci Cisco Talos przypisali nową kampanię podmiotom powiązanym z Qakbot, ponieważ metadane znalezione w plikach LNK używanych w tej kampanii pasują do metadanych z maszyn używanych w poprzednich kampaniach Qakbot “AA” i “BB”. Mimo iż Qakbot został wyeliminowany z dalszej dystrybucji narzędzi, oprogramowanie związane z grupą nadal będzie stanowić poważne zagrożenie. Nie wszyscy cyberprzestępcy związani z grupą zostali aresztowani i nadal działają, co zostawia otwartą furtkę do odbudowania infrastruktury botnetu.
Qakbot nadal aktywni?
Podczas operacji z udziałem FBI przeprowadzonej pod koniec sierpnia 2023 r., organy ścigania przejęły infrastrukturę i aktywa kryptowalutowe wykorzystywane przez grupę stojącą za malwarem Qakbot, wyrządzając znaczne szkody w jej działalności. Wiele osób z branży bezpieczeństwa przewidywało zniknięcie Qakbot na zawsze.
„Obecnie, z dużą dozą prawdopodobieństwa możemy stwierdzić, że przestępcy stojący za Qakbotem są nadal aktywni i prowadzą kampanię, która rozpoczęła się tuż przed akcją FBI. Dystrybuują oni wariant ransomware Cyclops/Ransom Knight wraz z backdoorem Remcos. Połączyliśmy tę ich nową aktywność z maszynami używanymi w poprzednich kampaniach Qakbot, na bazie metadanych plików LNK używanych w nowej kampanii” – wyjaśnia Guilherme Venere z Cisco Talos we wpisie na blogu.
Cisco Talos: Qakbot nadal stosuje phishing
Jeszcze w styczniu 2023 r. eksperci Cisco Talos wytłumaczyli sposób wykorzystywania metadanych z plików LNK do identyfikowania i śledzenia cyberprzestępców. We wpisie na blogu zostało przybliżone, w jaki sposób jedna maszyna używana w kampanii “AA” z numerem seryjnym dysku “0x2848e8a8” została później wykorzystana w kampanii nowego botnetu o nazwie “BB”. Po publikacji, przestępcy Qakbot odpowiedzialni za kampanie “AA”, “BB” i “Obama” usunęli metadane ze swoich plików LNK, aby utrudnić wykrywanie i śledzenie.
Zespół Cisco Talos zidentyfikował nowe pliki LNK w sierpniu 2023 r. Nazwy plików LNK, z motywami pilnych spraw finansowych, sugerują, że są one rozpowszechniane w wiadomościach phishingowych, co jest zgodne z poprzednimi kampaniami Qakbot.
Niektóre z nazw plików są napisane w języku włoskim, co sugeruje, że podmioty stanowiące zagrożenie mogą atakować użytkowników w tym regionie. Pliki LNK są dystrybuowane wewnątrz archiwów Zip, które zawierają również plik XLL. XLL jest rozszerzeniem używanym w dodatkach do Excela i ma ikonę podobną do innych formatów plików Excela.
Qakbot nie istnieje. Więc kto atakuje?
Eksperci Cisco Talos twierdzą, że za ostatnimi wydarzeniami nie stoi Qakbot, tylko klienci cyberprzestępców. Działania trwają od sierpnia 2023 r. i nie zostały zakłócone po ataku FBI. Najprawdopodobniej organy ścigania nie wpłynęły na infrastrukturę dostarczania phishingowych wiadomości e-mail Qakbot, a jedynie na serwery dowodzenia i kontroli grupy cyberprzestępczej.
„Chociaż nie widzieliśmy nowych grup dystrybuujących Qakbot to złośliwe oprogramowanie prawdopodobnie nadal będzie stanowić poważne zagrożenie w przyszłości. Osoby znające oprogramowanie pozostają aktywne co może sprawić, że odbudują one infrastrukturę Qakbot, aby wznowić swoją działalność” – ostrzega Guilherme Venere z Cisco Talos.