Nilaa Maharjan, Logpoint Global Services & Security Research

Sammenfatning:

  • QakBOT, som også staves Quakbot,er en gammel banktrojaner, der har været aktiv siden 2007, og som er stigende, da adskillige trusselsaktører fanges ved at bruge den i deres malspamkampagner efter kortvarig inaktivitet i starten af 2022.
  • Den har primært spredt sig gennem vedhæftede filer og links i målrettede spearphishing-angreb. Den mest almindelige variant brugte HTML Smugglingtil at levere en indlejret adgangskodebeskyttet ZIP-fil, der indeholder en genvejsfil (LNK), som udnytter flere living-off-the-land (LOLBins) til at downloade Qakbot-payloaden.
  • Andre TTP’er omfatter brugen af Microsoft Word-dokumenter og udnyttelsen af “Follina“, der er bundtet med LNK, som kørte Qakbot DLL’er.
  • Denne nye forekomst anvender flere, enkle, men effektive forsvarsmetoder til at undslippe statiske detektionsmetoder.
  • Der er blevet observeret registreringskommandoer i flere tilfælde før overtagelsen, hvilket muligvis forbereder flere backdoor og lateral movements.
  • Angriberne er langsomt begyndt at begive sig uden for banksektoren og er begyndt at målrette indsatsen mod sundhed, infrastruktur, informationsteknologi og mange andre.

I løbet af de seneste par måneder har virksomheder som SpaceX, Go West Tours, Commercial Development Company, Inc., Furniture Row & Visser Precision, Kimchuk Inc. og Hot Line Freight Systems været ofre for QBot-relaterede angreb og datalækager – nogle mere virkningsfulde end andre.

  • Qakbot er modulopbygget og udvikler sig med hver ny trusselsaktør, hvilket gør den meget vanskelig at opdage – når den gør brug af eksisterende binære filer, sårbarheder eller avancerede teknikker til undslippe forsvarsmekanismerne.

Den produktive, modulære informationsstjælende malware, Qakbot, der også staves Quakbot og Pinkslipbot, blev første gang identificeret i 2007 og har eksisteret i over et årti. På grund af malwarens design og den indsats, der er lagt i designet af forskellige trusselsaktører, er det et almindeligt værktøj, der anvendes i flere kendte ransomware-kampagner. Malwaren blev historisk betragtet som en banktrojaner og loader og har udviklet sig flere gange. Med få års mellemrum får den en opblomstring, hvor den hægter sig på nye sårbarheder, aktører og brancher. Selve mønstret er blevet døbt “QBot“.

Operatørerne kaldes af og til “Gold Lagoon” og har siden etableringen haft aktiviteter i forskellige nationer på de fleste kontinenter. Malwaren er dog ikke udelukkende forbundet med en bestemt aktør eller gruppe.

Trend Micros periodiske detektionsrater viser, at QBot i første halvår af 2020 stod for næsten 4000 unikke detektioner, hvoraf 28 % var målrettet den private og offentlige sundhedssektor. Angrebene aftog med tiden, da man i sidste halvår kun registrerede 8 % angreb mod sundhedssektoren.

Selve QBot indeholder flere moduler:

  • Password Grabber-modul: Til at stjæle legitimationsoplysninger
  • hVNC-plugin: Til at tillade en ekstern operatør at fjernstyre enheden uden offerents viden, selvom brugeren er logget ind
  • Cookie Grabber-modul: Til at stjæle browsercookies
  • Web-Inject-modul: Til at indlejre JavaScript-koder på websites (primært pengeinstitutter)
  • Mailindsamlingsmodul: Til at udtrække mail fra lokale Outlook-klienter og bruge dem som grundlag for yderligere QBot-phishingkampagner
  • Kernefunktionaliteten omfatter:
    • Rekognoscering
      • Gør brug af procesindsættelse til at køre en række registreringskommandoer:
        • whoami /all, arp -a, ipconfig /all, net view /all, netstat -ano, net localgroup
      • Lateral movement
        • Windows Management Instrumentation (WMI)
      • Eskalering og fastholdelse af rettigheder
        • Oprettelse af planlagte opgaver
        • Manipulation af registreringsdatabase
      • Indsamling af legitimationsoplysninger
        • Forsøg på at tælle legitimationsoplysninger fra flere placeringer
        • Rammer browserdata (herunder cookies og browserhistorik)
      • Dataeksfiltrering
        • Eksfiltrerer specifikt mails
      • Anden payload-levering
        • Cobalt Strike
        • Bruges ofte af trusselaktører til at levere ekstra paylods eller sælge adgang til andre trusselaktører.

Casestudie

Der har været flere QBot-angreb. Især på JBS, verdens største kødproducent, og Fujifilm, et japansk multinationalt konglomerat i starten af juni 2021. Selvom de to angreb, deres ofre og jurisdiktioner er meget forskellige, afslører nogle stærke fællestræk samme mønster og samme udøver – REvil-banden, som måske har brugt QBot-malwaren til at gennemføre den indledende infektionshandling.

Først har vi været vidne til tilfælde, hvor QBot-infektionstimingen var forbundet med tidligere REvil-angreb. Med andre ord fulgte deres angreb – oftest en datalækage – et bestemt tidsmæssigt mønster efter den oprindelige QBot-infektion. REvil bliver normalt i netværket i to til tre uger efter et sofistikeret angreb mod et primært offer, hvilket AdvIntel identificerede i det samme interval mellem QBot-infiltreringen og REvil-bruddet, da de undersøgte REvil-relaterede problemer. Ligheden mellem de to kriminelle gruppers TTP’er og operationelle modeller gør samarbejdet logisk og naturligt.

På den ene side er QBot (som botnet) berygtet for at etablere sig ved at samarbejde med så mange førende ransomware-bander som muligt. En typisk botnet-organisation vil have ét forhold til RaaS-banden (ransomware as a service), undertiden to, men QBot afviger fra denne tendens, fordi de altid har sigtet efter omfattende partnerskabsudvidelser.

Andre botnet havde kun én forbindelse på ransomwaresiden, QBot havde flere. Dridex havde f.eks. DopplePaymer, TrickBot-botnet havde Ryuk, og Zloader havde DarkSide. Samtidig blev QBot inficeret med Egregor, ProLock, LockerGoga, Mount Locker og andre ransomware-grupper.

I modsætning til andre ransomware-grupper er REvil kendt for at diversificere sine angrebsværktøjer. Normalt har hver ransomware-gruppe sit foretrukne værktøj, f.eks. én infrastrukturel sårbarhed eller ét specifikt botnet. Men REvil sigtede mod at have så mange angrebsflader som muligt. Som mange andre grupper startede de med RDP-udnyttelse, men de stoppede aldrig der.

I 2021 (det år, hvor REvil hurtigt diversificerede sig) annoncerede de investeringer i specialister i BlueKeep-sårbarhed, PulseVPN-udnyttelse og Fortigate VPN-udnyttelse. De har tydeligt udtrykt deres interesse i de nye Microsoft-server-CVE’er, derefter i TrickBot-malware og til sidst i et direkte køb af netværksadgang fra undergrunden.

QBots genopståen i 2022 er blevet drevet af Black Basta, som er et helt nyt problem. Siden starten af april har Black Basta fået opmærksomhed for sine seneste angreb på 50 virksomheder verden over samt brugen af dobbelt afpresning, en ny ransomwaremetode, hvor angribere krypterer hemmelige data og truer med at afsløre dem, hvis deres krav ikke opfyldes. Trend Micro har en hel rapport, der dækker TTP’erne fra Black Basta, som inkluderer den trojanske QakBot som et middel til adgang og movement samt brug af PrintNightmare-sårbarheden (CVE-2021-34527) til at udføre privilegerede filhandlinger.

Som det er tilfældet med alle blogs om nye trusler, har vi også inkluderet en rapport. Et nyligt eksempel på det tidligere nævnte angreb, herunder en detaljeret analyse af malware-prøven, udførelseskæden og de observerede taktikker og teknikker, er inkluderet i rapporten.

Læs rapporten

Taktikker, teknikker og procedurer (TTP’er)

Ud over det faktum, at QBot er en effektiv informationstyv og bagdør i sig selv, er der fundet mange RaaS-udbydere, der anvender QBot-variationer for at få adgang til virksomhedens netværk, før de leverer ransomwaren.

Den nylige genopblussen, der tidligere blev distribueret via Emotet, viser, at antallet af angrebene er stigende gennem meget målrettede e-mailkampagner for malspam. Disse seneste aktioner starter med distribution af en vedhæftet HTML-fil og kapring af en mailtråd.

Når filen åbnes, slipper den en mappe (ZIP), der indeholder et Office-dokument, en genvejsfil (INK) og en DLL-fil, inde i en diskbilledfil (IMG). DLL køres af LNK for at lancere QBot. Dokumentet indlæses og kører derefter en HTML-fil, der indeholder PowerShell-udnyttelsen CVE-2022-30190, der bruges til at downloade og køre den. Men eftersom sårbarheden er blevet patchet, gør angriberne brug af binære filer via LOLBins. Angriberne tager tydeligvis ingen chancer og har flere fejlpunkter i håbet om, at mindst én af disse strategier vil fungere.

En anden variation af angrebet erstatter en ISO-fil (en anden form for diskbilledfil), som igen indeholder en DOCX-fil (Word-dokument), en INK-fil og en DLL-fil, til IMG-filen i ZIP-mappen.

Efter at have foretaget ændringer i den overordnede malware, har man observeret, at QBots operatører har efterladt en versionskode i deres eksempel.

F.eks.

{

"Bot id": "obama182",

"Campaign": "1651756499",

"Version": "403.683",

}

Før inficerede Windows-enheder lukkede ned, aktiverede QBot-eksemplerne fra en opdatering i december 2020 deres fasholdelsesmekanisme og havde automatisk slettet alle spor, da systemet genstartede eller vågnede igen. Dette gør det muligt at aktivere fastholdelsesmekanismen så hurtigt, at sikkerhedssoftwaren ikke kan nå at identificere den, inden den lukker ned. Dridex og Gozi har anvendt lignende strategier, herunder brug af flere krypteringsalgoritmer. Dette skjuler dens funktion og oplysninger for potentielle ofre samt sikkerhedssoftware. Det blev også observeret, at eksemplet forsøgte at skjule data på en legitim procesindsættelsesbaseret måde. Når offerets computer er blevet inficeret, kompromitteres den, og som følge af QBots evner til at foretage lateral movement kan de udgøre en trussel mod andre maskiner på det lokale netværk.

Byggestenene i QBot-angreb. Kilde: Microsoft

 

Trods alle de variationer, der er til rådighed, og forventede nye ændringer, identificeres Qakbot-familien ved hjælp af dens brug af lignende byggesten. Et UpnP-modul (Universal Plug-and-Play), der er integreret i QBot, transformerer de inficerede værter uden direkte internetforbindelse til mellemliggende kommando- og kontrolservere (CnC) og bruger dem som et botnet. CnC downloader derefter yderligere moduler, som omfatter:

  • Password Grabber-modul: Til at stjæle legitimationsoplysninger
  • hVNC-plugin: Til at tillade en ekstern operatør at fjernstyre enheden uden offerents viden, selvom brugeren er logget ind
  • Cookie Grabber-modul: Til at stjæle browsercookies
  • Web-Inject-modul: Til at indlejre JavaScript-koder på websites (primært pengeinstitutter)
  • Mailindsamlingsmodul: Til at udtrække mail fra lokale Outlook-klienter og bruge dem som grundlag for yderligere QBot-phishingkampagner

QBot er kendt for at gøre brug af andre afhængigheder end det, den pakker. Det drejer sig bl.a. om:

  • PowerShell: Bruges til at manipulere filer, afkode, indlejre og injicere Mimikatz binært i hukommelsen.
  • Mimikatz: Bruges til tyveri af legitimationsoplysninger, certifikattyveri, rekognoscering, pass the hash-angreb og lateral movements.
  • LOLBins: Binære Windows-filer, der reducerer behovet for at uploade værktøjer for at udføre ondsindede aktiviteter.

Derudover har man set, at QBot har downloadet yderligere ransomware såsom Prolock, Egregor og REvil/Sodinokibi. Som CEO for Advance Intel udtalte“En netværksinfektion, der tilskrives QBot, resulterer automatisk i risici i form af fremtidige ransomware-angreb”AfhjælpningEftersom QBot og anden ransomware har været en stabil angrebslinje i de seneste par år, bør alle organisationer have en grundlæggende forebyggelses- og afhjælpningsprocedure på nuværende tidspunkt. CISA‘s Alert (AA21-131A) DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks giver også et godt overblik.

  • Hav multifaktorgodkendelse til fjernadgang til OT- og IT-netværk.
  • Aktivér stærke spamfiltre for at forhindre phishing-mails i at nå ud til slutbrugerne. Filtrer e-mails, der indeholder eksekverbare filer, fra, så de ikke når slutbrugerne.
  • Implementer et brugerudannelsesprogram og simulerede angreb for at forhindre brugere i at besøge ondsindede websteder eller åbne ondsindede vedhæftede filer, og understreg vigtigheden af, at brugerne reagerer korrekt på spear phishing-mails.
  • Filtrer netværkstrafik for at forhindre ind- og udgående kommunikation med kendte skadelige IP-adresser. Sørg for at forhindre brugerne i at få adgang til ondsindede websteder ved at implementere URL-blokeringslister og/eller -tilladelseslister.
  • Opdater software, herunder operativsystemer, applikationer og firmware på IT-netværksaktiver rettidigt. Overvej at bruge et centraliseret patch management-system. Brug en risikobaseret vurderingsstrategi til at bestemme, hvilke OT-netværksaktiver og zoner der skal deltage i patch management-programmet.
  • Bloker vedhæftede ZIP-filer, og deaktiver udførelsen af makroer.
    • Begræns adgangen til ressourcer via netværk, navnlig ved at begrænse RDP. Hvis RDP vurderes at være driftsmæssigt nødvendigt efter vurderingen af risiciene, skal kilderne begrænses, og der skal kræves multifaktorgodkendelse.
    • Konfigurer antivirus-/antimalwareprogrammer til at udføre regelmæssige scanninger af IT-netværksaktiver ved hjælp af opdaterede signaturer. Brug en risikobaseret aktivopgørelsesstrategi til at bestemme, hvordan tilstedeværelsen af malware identificeres og evalueres i OT-netværksaktiver.
    • Implementer forebyggelse af uautoriserede kørsler ved at:
  • Deaktivere makroscripts fra Microsoft Office-filer sendt via mail. Overveje at bruge Office Viewer-software til at åbne Microsoft Office-filer, der sendes via mail, i stedet for komplette Microsoft Office-programpakker.
  • Implementere en liste over godkendte applikationer, der kun tillader systemer at køre programmer, der er kendt og tilladt i henhold til sikkerhedspolitikken.
  • Overvåge og/eller blokere indgående forbindelser fra Tor-udgangsnoder og andre anonymiseringstjenester.
  • Udrul signaturer for at registrere og/eller blokere indgående forbindelser fra Cobalt Strike-servere og andre værktøjer til brug efter en installation.

Hvis din organisation er påvirket af ransomware eller en QBot-hændelse:

  • Isoler det inficerede system.
    • Sluk for andre computere og enheder. Sluk for og adskil alle andre computere eller enheder, der har delt et netværk med den eller de inficerede computere, der ikke er fuldt krypteret med ransomware.
    • Sørg for at sikre jeres sikkerhedskopier. Sørg for, at jeres backupdata er offline, sikre og fri for malware.

I løbet af denne undersøgelse har vi fra den statiske og dynamiske analyse fundet flere filer, domæner og botnet-netværk, der stadig er aktive derude. Alle artefakter leveres som lister, og de tilknyttede alarmer kan downloades som en del af Logpoints seneste version samt via Logpoints downloadcenter.Tilpassede undersøgelses- og reaktionsplaybooks er blev distirbueret til Logpoint Emerging Threat Protection-kunder.Rapporten med analyse, infektionskæde, detektion og afbødning ved hjælp af Logpoints SIEM og SOAR kan downloades fra linket nedenfor.

Læs rapporten

Contact Logpoint

Contact us and learn why
industry-leading companies
choose Logpoint:

Download the report