Четверть C2-серверов QBot работают всего сутки. Так хакеры обеспечивают скрытность и адаптивность своего ботнета

Исследователи из Lumen Black Lotus Labs провели подробный анализ крайне распространённого ботнета QBot, в ходе которого выяснилось, что 25% его C2-серверов активны не более суток, а 50% — не более недели. Это свидетельствует об адаптивной и динамичной инфраструктуре вредоносного ПО.

«Эта ботнет использует техники, чтобы скрыть свою инфраструктуру в пространстве резидентских IP-адресов и зараженных веб-серверах вместо того, чтобы прятаться в сети хостинговых виртуальных частных серверов (VPS)», — заявили специалисты по безопасности Крис Формоза и Стив Радд.

QBot, также известный как QakBot и Pinkslipbot, является постоянной и мощной угрозой, которая начиналась как банковский троян, а затем превратилась в загрузчик для других полезных нагрузок, включая вымогательские программы. Годом его происхождения считается 2007-ой.

Вредонос попадает на устройства жертв через специализированные фишинговые электронные письма, которые либо сразу содержат файлы-приманки, либо перенаправляют к ним средствами вредоносных URL-адресов.

Злоумышленники QBot постоянно совершенствовали свои тактики на протяжении многих лет, чтобы проникать в системы жертв различными методами, такими как захват электронных писем, HTML-контрабанда и использование необычных типов вложений для обхода систем защиты.

Ещё одним интересным аспектом операции является сам принцип распространения и работы вредоносного ПО: активность QBot происходит в виде небольших, но интенсивных всплесков, сменяемых бездействием, после чего атаки возобновляются с обновленной цепочкой заражения.

В то время как волны фишинга QBot в начале 2023 года использовали Microsoft OneNote в качестве вектора вторжения, в последних атаках хакеры использовали защищенные PDF-файлы для установки вредоноса на устройства жертв.

Зависимость QakBot от зараженных веб-серверов и хостов приводит к короткому сроку жизни и высокому уровню сменяемости, что приводит к сценарию, при котором в среднем за семидневный период появляется от 70 до 90 новых серверов QBot.

«Qakbot сохраняет устойчивость за счёт переоборудования устройств жертв в C2-серверы», — заявили исследователи.

По данным Team Cymru, опубликованным в прошлом месяце, большинство C2-серверов ботнета Qakbot с большой долей вероятности являются именно скомпрометированными хостами, доступ к которым был получен либо в результате атак самого ботнета, либо куплен у других киберпреступников. По состоянию на март 2023 года большая часть серверов ботнета находится в Индии.

«Qakbot до сих пор активен благодаря тому, что принял подход быстрого развёртывания для создания и развития своей архитектуры. Ботнет демонстрирует техническое мастерство путём изменения методов первичного доступа и поддержания устойчивой и уклончивой резидентской C2-инфраструктуры», — заключили исследователи.