Los operadores de malware QakBot amplifican la amenaza con el aumento de 15 nuevos servidores C2
En un desarrollo reciente, el grupo detrás del malware QakBot (también conocido como QBot) ha establecido una nueva red de 15 servidores de comando y control (C2) para fines de junio de 2023. Esta observación se basa en la investigación en curso del malware. infraestructura realizada por Team Cymru. Sorprendentemente, esta expansión sigue de cerca a una revelación de Lumen Black Lotus Labs, que reveló que una cuarta parte de sus servidores C2 permanecen operativos durante un solo día, arrojando luz sobre la naturaleza dinámica y esquiva de las operaciones de QakBot .
QakBot exhibe tradicionalmente un patrón de tiempo de inactividad prolongado durante los meses de verano, que normalmente vuelve a aparecer en septiembre. En el año en curso, sus operaciones de envío de spam se detuvieron aproximadamente el 22 de junio de 2023, según la firma de ciberseguridad. Sin embargo, queda por ver si los operadores de QakBot usan este tiempo de inactividad como vacaciones o lo utilizan para refinar y actualizar su infraestructura y herramientas.
Tabla de contenido
Implementación de infraestructura exquisita
Similar a las arquitecturas observadas en el malware Emotet e I cedID , la red de comando y control (C2) de QakBot exhibe una estructura de varios niveles. Dentro de este acuerdo, los nodos C2 se comunican con nodos C2 de nivel 2 (T2) de nivel superior alojados en proveedores de servidores privados virtuales (VPS) en Rusia. La mayoría de los servidores bot C2, que se comunican con los hosts de las víctimas comprometidas, se encuentran principalmente en los Estados Unidos y la India. El análisis de las conexiones salientes de los nodos T2 revela que las direcciones IP de destino se encuentran en Estados Unidos, India, México y Venezuela. Junto con los nodos C2 y T2, un servidor BackConnect (BC) transforma los bots comprometidos en proxies, lo que les permite atender diversas actividades maliciosas. Esta intrincada arquitectura de red subraya los esfuerzos de QakBot para orquestar sus operaciones en múltiples ubicaciones geográficas, mejorando su capacidad para administrar y controlar de manera efectiva los sistemas infectados.
Los nodos C2 de nivel 2, en el contexto de amenazas cibernéticas y malware, se refieren al nivel intermedio de infraestructura de comando y control dentro de una arquitectura de varios niveles. Las cepas de malware sofisticadas como QakBot, Emotet e IcedID a menudo emplean esta arquitectura. Los nodos C2 de nivel 2 son intermediarios entre los principales servidores de comando y control (nivel 1) y los dispositivos o bots comprometidos (puntos finales).
El propósito de los nodos de nivel 2 es mejorar la resiliencia y el sigilo de la red de comunicación del malware. Ayudan a distribuir comandos y señales de control desde los servidores C2 centrales a una red de nodos de nivel 2, que luego transmiten estas instrucciones a los dispositivos comprometidos individuales. Esta configuración jerárquica hace que sea más difícil para los analistas de seguridad rastrear las actividades maliciosas hasta los servidores principales de C2, lo que aumenta las posibilidades del malware de evadir la detección y las eliminaciones.
Los nodos C2 de nivel 2 a menudo se comunican con los dispositivos comprometidos utilizando varias técnicas, como algoritmos de generación de dominios o redes de flujo rápido, lo que complica aún más los esfuerzos para bloquear o desactivar los canales de comunicación del malware. Los actores de amenazas utilizan nodos Tier 2 C2 para mantener el control sobre sus botnets y facilitar la ejecución de operaciones maliciosas mientras minimizan los riesgos asociados con la comunicación directa entre el servidor central y los dispositivos infectados.
Servidores C2 explotados
Los hallazgos más recientes revelados por Team Cymru destacan una disminución notable en el recuento de C2 existentes que interactúan con la capa T2. Ahora, con solo ocho restantes, esta disminución se atribuye en parte a las acciones de Black Lotus Labs de enrutamiento nulo de la infraestructura de nivel superior en mayo de 2023. La compañía observó una reducción sustancial en el tráfico de los C2 indios y la casi desaparición de los C2 estadounidenses alrededor de junio. 2, que asocian con el enrutamiento nulo de la capa T2. Además de los 15 servidores C2, seis servidores C2 preexistentes activos antes de junio y dos servidores C2 recién activados en junio mostraron una actividad continua durante todo julio, incluso después del cese de las actividades de spam.
Un examen más detallado de los datos de NetFlow muestra un patrón recurrente en el que las conexiones T2 salientes intensificadas a menudo siguen picos en las conexiones C2 de bot entrantes. Además, los aumentos repentinos en las conexiones salientes de T2 suelen coincidir con caídas en la actividad de bot C2. El equipo Cymru destacó que al emplear a las víctimas como infraestructura C2 con comunicación T2, QakBot impone una doble carga a los usuarios, primero a través del compromiso inicial y luego a través del daño potencial a su reputación cuando su host es reconocido públicamente como malicioso. La compañía enfatizó que al cortar las comunicaciones con los servidores ascendentes, las víctimas no pueden recibir instrucciones C2, protegiendo efectivamente a los usuarios actuales y futuros contra compromisos.
Acerca de QakBot
QakBot, también conocido como QBot, ha sido un notorio troyano bancario y malware de robo de información desde alrededor de 2007. Se dirige principalmente a los sistemas operativos Windows y está diseñado para robar información financiera confidencial de las computadoras infectadas, como credenciales bancarias, detalles de tarjetas de crédito y información personal. QakBot generalmente llega a través de archivos adjuntos de correo electrónico maliciosos, enlaces o sitios web infectados. Una vez instalado en un sistema, puede conectarse con servidores de comando y control (C2), lo que permite a los piratas informáticos controlar la máquina infectada y filtrar los datos robados de forma remota. QakBot ha demostrado un alto nivel de sofisticación a lo largo de los años, evolucionando constantemente sus técnicas para evadir la detección y las medidas de seguridad. También puede propagarse a través de redes compartidas y explotar vulnerabilidades para propagarse dentro de una red. En general, QakBot es una amenaza importante para las personas y las organizaciones debido a su capacidad para robar información confidencial y generar pérdidas financieras.
Los operadores de malware QakBot amplifican la amenaza con el aumento de 15 nuevos servidores C2 capturas de pantalla
