-Nilaa Maharjan Logpoint Global Services & Security Research

Sammanfattning:

  • QakBOT (även kallad Quakbot)  är en gammal banktrojan som har varit aktiv sedan 2007 och åter har börjat användas av flera hotaktörer i malspam-kampanjer efter en kort period av inaktivitet under tidiga 2022.
  • Det har främst setts spridas genom bilagor och länkar i riktade spearphishing-attacker. Den vanligaste varianten använder HTML Smugglingför att installera en inbäddad lösenordsskyddad ZIP-fil som innehåller en genvägsfil (LNK) som utnyttjar flera LOLBins (living-off-the-land) för att ladda ner Qakbots nyttolast.
  • Andra TTP:er omfattar användning av Microsoft Word-dokument och utnyttjande av sårbarheten ”Follina” tillsammans med genvägsfiler som exekverar Qakbot DLL-filer.
  • Denna angreppsmetod använder flera enkla men ändå effektiva tekniker för att undkomma upptäckt med statiska detekteringsmetoder.
  • Upptäcktskommandon observerades i flera fall före intrången, möjligen som förberedelse för bakdörrar och lateral förflyttning.
  • Angripare har sakta börjat bege sig utanför banksektorn och började inrikta sig på hälsa, infrastruktur, informationsteknik och mycket annat.

Under de senaste månaderna har företag som SpaceX, Go West Tours, Commercial Development Company, Inc., Furniture Row & Visser Precision, Kimchuk Inc. och Hot Line Freight Systems utsatts för QBot-relaterade attacker och dataläckor – vissa mer allvarliga än andra.

  • Qakbot är modulär och utvecklas med varje ny hotaktör, vilket gör den mycket svår att upptäcka eftersom den utnyttjar befintliga binärfiler, sårbarheter eller avancerade tekniker för att undkomma upptäckt.

Det modulära informationsstjälande skadeprogrammet känt som Qakbot (som även kallas Quakbot och Pinkslipbot) identifierades först 2007 och har funnits i över ett årtionde. På grund av dess design och ansträngningarna från olika hotaktörer är det ett vanligt verktyg som har använts i flera uppmärksammade ransomware-kampanjer. Den har historiskt sett betraktats som en banktrojan och loader. Den har vidareutvecklats flera gånger och brukar återuppstå med några års mellanrum i samband med nya sårbarheter, aktörer och branscher. Själva mönstret har fått namnet ”QBot”.

Operatörerna kallas ibland ”Gold Lagoon” och har varit verksamma sedan starten, med aktiviteter i olika länder på de flesta kontinenter. Den skadliga programvaran är dock inte knuten exklusivt till någon aktör eller grupp.

Trend Microperiodiska detektionsrapporter visar att QBot under första halvåret 2020 stod för nästan 4 000 unika detektioner, varav 28 % var riktade mot hälso- och sjukvårdssektorn (HPH). Angreppen avtog så småningom och det senare halvåret var HPH målet i 8 % av attackerna.

QBot innehåller flera moduler:

  • Password Grabber Module: För att stjäla inloggningsuppgifter
  • hVNC Plugin: Låter en extern operatör fjärrstyra enheten utan offrets vetskap även om användaren är inloggad
  • Cookie Grabber Module: För att stjäla webbläsarcookies
  • Web-Inject Module: För injicering av JavaScript-kod på webbplatser (främst finansiella institutioner)
  • Email Collection Module: För att extrahera e-postmeddelanden från lokala Outlook-klienter och använda dem som grund för ytterligare QBot-phishingkampanjer
  • Huvudfunktionerna omfattar:
    • Reconnaissance
      • Använder processinjektion för att köra en serie avsökningskommandon:
        • whoami /all, arp -a, ipconfig /all, net view /all, netstat -ano, net localgroup
      • Lateral förflyttning
        • Windows Management Instrumentation (WMI)
      • Privilegieeskalering och persistens
        • Skapande av schemalagda aktiviteter
        • Registermanipulation
      • Insamling av inloggningsuppgifter
        • Försöker extrahera inloggningsuppgifter från flera platser
        • Inriktar sig på webbläsardata (inklusive cookies och webbläsarhistorik)
      • Exfiltrering av data
        • Exfiltrerar specifikt e-post
      • Annan nyttolastleverans
        • Cobalt Strike
        • Används ofta av hotaktörer för att leverera ytterligare nyttolaster eller sälja åtkomst till andra hotaktörer.

Fallstudie

Det har förekommit många QBot-attacker. Bland annat mot världens största köttproducent JBS och det multinationella japanska konglomeratet Fujifilm i början av juni 2021. Trots att de två attackerna, deras offer och jurisdiktioner är väldigt olika, fanns stora likheter i attackmönstret som pekar på samma förövare – REvil -gänget, som kan ha använt skadeprogrammet QBot för att genomföra den initiala infektionsoperationen.

Först har vi sett fall där QBot-infektioner har korrelerat med tidpunkten för REvil-attacker tidigare. Med andra ord följde deras attack – oftast en dataläcka – ett specifikt tidsmönster efter den ursprungliga QBot-infektionen. REvil stannar vanligtvis i nätverket i två till tre veckor efter att ha inlett en sofistikerad attack mot ett primärt offer, något som AdvIntel upptäckte under samma intervall mellan QBot-infiltration och REvil-intrånget när de undersökte REvil-relaterade frågor. Dessutom gör det faktum att de två kriminella gruppernas TTP:er och operativa modeller att samarbetet logiskt och naturligt.

Å ena sidan är QBot (som botnät) ökänt för att etablera sig genom samarbete med så många ransomware-gäng som möjligt. En typisk botnät-organisation har en relation med ett RaaS-gäng (Ransomware as a Service) – ibland två – men QBot avviker från denna trend eftersom de alltid har siktat på stora partnerskapsexpansioner.

Andra botnät har bara en kontakt på ransomware-sidan – QBot har flera. Dridex har till exempel DopplePaymer; TrickBot botnet har Ryuk; Zloader har DarkSide. Samtidigt smittades QBot av Egregor, ProLock, LockerGoga, Mount Locker och andra ransomware-grupper.

Till skillnad från andra ransomware-grupper är REvil känt för att diversifiera sina attackverktyg. Vanligtvis har varje ransomware-grupp sitt föredragna verktyg, till exempel en infrastrukturell sårbarhet eller ett specifikt botnät. REvil siktade dock på att angripa så många attackytor som möjligt. Liksom många grupper började de med RDP-exploatering, men slutade aldrig där.

2021 (REvils år med snabb diversifiering) tillkännagav de investeringar i specialister inom BlueKeep-sårbarheter, PulseVPN-exploatering och Fortigate VPN-exploatering. De har tydligt uttryckt intresse för de nya CVE:er för Microsoft Server, sedan för skadeprogrammet TrickBot och slutligen för direktköp av nätverksåtkomst från den illegala marknaden.

Återuppstående av QBot under 2022 har drivits av Black Basta som i sig är en helt annan historia. Sedan starten i april har Black Basta uppmärksammats för sina senaste attacker mot 50 företag över hela världen, samt för användningen av dubbelutpressning – en ny ransomware-metod där angripare krypterar känsliga företagsuppgifter och hotar att avslöja dem om deras krav inte uppfylls. Trend Micro har en hel rapport som täcker Black Bastas TTP:er och inkluderar trojanen QakBot som ett verktyg för åtkomst och lateral förflyttning, samt användning av sårbarheten PrintNightmare (CVE-2021-34527) för att utföra privilegierade filåtgärder.

Liksom alla Emerging Threats-bloggar inkluderar vi en rapport. Ett färskt exempel på den tidigare nämnda attacken, inklusive en detaljerad analys av skadeprogrammet, exekveringskedjan och observerade taktiker och tekniker ingår i rapporten.

Läs rapporten

TTP:er (Tactics, Techniques and Procedures)

Förutom det faktum att QBot är ett effektivt verktyg för informationsstöld och bakdörr på egen hand, har man observerat att många RaaS-leveratörer utnyttjar olika QBot-varianter för att få åtkomst till företagsnätverk innan de levererar ransomware.

Den senaste tidens återkomst, som tidigare distribuerades via Emotet, visar att attackerna ökar genom riktade malspam-kampanjer. De senaste angreppen börjar med distribution av en HTML-bilaga och kapning av e-posttrådar.

När filen öppnas kopieras en komprimerad fil (.zip) som innehåller ett Office-dokument, en genvägsfil (.lnk) och en .dll-fil i en skivavbildningsfil (.img). DLL-filen exekveras via LNK-filen för att starta QBot. Dokumentet kommer då att ladda och köra en HTML-fil som innehåller PowerShell-sårbarheten CVE-2022-30190 som används för att ladda ner och köra den. Men eftersom sårbarheten har patchats utnyttjar angriparna binärfiler via LOLBins. Angriparna tar uppenbarligen inga chanser på grund av svagheterna i angreppskedjan i hopp om att minst en av dessa strategier kommer att fungera.

En annan variant av attacken ersätter en .iso-fil (en annan typ av skivavbildningsfil), som återigen innehåller en .docx-fil (Word-dokument), en .lnk-fil och en .dll-fil för .img-filen i det komprimerade paketet.

Efter att ändringar gjorts i den överordnade skadliga programvaran har man observerat att QBot-operatörer lämnar en versionstagg i sina programvarianter.

Exempel:

{

"Bot id": "obama182",

"Campaign": "1651756499",

"Version": "403.683",

}

Innan infekterade Windows-enheter stängs av, aktiverar QBot-varianterna från en uppdatering i december 2020 sin persistensmekanism och raderar automatiskt alla spår när systemet startas om eller aktiveras från viloläge. Detta gör att persistensmekanismen kan aktiveras så pass snabbt att säkerhetsprogrammet inte hinner identifiera skadeprogrammet när maskinen stängs av. Liknande strategier har använts av Dridex och Gozi, inklusive användning av flera krypteringsalgoritmer. Detta döljer dess funktion och information för potentiella offer samt säkerhetsprogram. Varianten observerades även vid försök till legitim processinjektionsbaserad maskering. När offrets dator har infekterats är den komprometterad och på grund av QBots laterala förflyttningsförmåga kan enheten utgöra ett hot mot andra maskiner i det lokala nätverket.

Byggstenarna i QBot-attacker. Källa: Microsoft

Trots alla varianter som finns och nya förväntade ändringar, kan Qakbot-familjen identifieras tack vare att den använder liknande byggstenar. En universell Plug-and-Play (UPnP)-modul inbäddad i QBot omvandlar infekterade värdar utan direktanslutning till internet till CnC-servrar (Command and Control) och använder dem som ett botnät. CnC laddar sedan ner ytterligare moduler som inkluderar:

  • Password Grabber Module: För att stjäla inloggningsuppgifter
  • hVNC Plugin: Låter en extern operatör fjärrstyra enheten utan offrets vetskap även om användaren är inloggad
  • Cookie Grabber Module: För att stjäla webbläsarcookies
  • Web-Inject Module: För injicering av JavaScript-kod på webbplatser (främst finansiella institutioner)
  • Email Collection Module: För att extrahera e-postmeddelanden från lokala Outlook-klienter och använda dem som grund för ytterligare QBot-phishingkampanjer

QBot har visat sig använda andra beroenden än de som ingår i baspaketet. Dessa omfattar:

  • PowerShell: för att manipulera filer, avkoda, bädda in och injicera Mimikatz binärfiler i minnet.
  • Mimikatz: för stöld av inloggningsuppgifter och certifikat, reconnaissance, pass-the-hash-attacker och lateral förflyttning.
  • LOLBins: Windows binärfiler som minskar behovet av att ladda upp verktyg för att utföra skadliga aktiviteter.

Utöver dessa har QBot setts ladda ner ytterligare ransomware som Prolock, Egregor och REvil/Sodinokibi. VD:n för Advance Intel säger: ”En nätverksinfektion som tillskrivs QBot resulterar automatiskt i risker förknippade med framtida ransomware-attacker”

Begränsning

Eftersom QBot och annan ransomware har varit en stabil attackmetod under de senaste åren bör varje organisation vid det här laget ha fastställt en grundläggande procedur för förebyggande och begränsning. CISAs larm (AA21-131A) DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks” innehåller också en bra översikt.

  • Kräver multifaktorautentisering till OT- och IT-nätverk.
  • Aktivera kraftfulla skräppostfilter för att förhindra att nätfiskemeddelanden når slutanvändare. Filtrera e-postmeddelanden som innehåller exekverbara filer så att de inte når slutanvändare.
  • Inför ett utbildningsprogram för användare och simulerade attacker med spear phishing för att avskräcka användare från att besöka skadliga webbplatser eller öppna skadliga bilagor, och fastställ lämpliga användaråtgärder vid försök till spear phishing via e-post.
  • Filtrera nätverkstrafik för att förhindra inkommande och utgående kommunikation med kända skadliga IP-adresser. Förhindra användare från att komma åt skadliga webbplatser genom att implementera URL-blockeringslistor och/eller listor över tillåtna webbadresser.
  • Uppdatera programvara, inklusive operativsystem, applikationer och firmware på IT-nätverkstillgångar i god tid. Överväg att använda ett centraliserat patchhanteringssystem; använd en riskbedömningsstrategi för att avgöra vilka OT-nätverkstillgångar och zoner som ska skötas av patchhanteringsprogrammet.
  • Blockera komprimerade dokumentbilagor (t.ex. .zip) och inaktivera exekvering av makron.
    • Begränsa åtkomsten till resurser via nätverk, särskilt genom att begränsa användningen av RDP. Om RDP bedöms vara nödvändigt efter riskbedömningen ska ursprungskällorna begränsas och multifaktorautentisering krävas.
    • Ställ in antivirus-/antimalwareprogram för att utföra regelbunden genomsökning av IT-nätverkstillgångar med aktuella signaturer. Använd en riskbaserad inventeringsstrategi för tillgångar för att fastställa hur OT-nätverkstillgångar identifieras och utvärderas för förekomst av skadlig programvara.
    • Implementera skydd mot obehörig exekvering genom att:
  • Inaktivera makroskript i Microsoft Office-filer som skickas via e-post. Överväg att använda programmet Office Viewer för att öppna Microsoft Office-dokument som skickas via e-post i stället för kompletta Microsoft Office-program.
  • Implementera listor över tillåtna program som endast tillåter system att köra program som är kända och tillåtna enligt säkerhetspolicy.
  • Övervaka och/eller blockera inkommande anslutningar från Tor-utgångsnoder och andra anonymiseringstjänster.
  • Distribuera signaturer för att identifiera och/eller blockera inkommande anslutningar från Cobalt Strike-servrar och andra verktyg som används efter ett lyckat intrång.

Om din organisation påverkas av ransomware eller en QBot-incident:

  • Isolera det infekterade systemet.
    • Stäng av andra datorer och enheter. Stäng av och avskärma alla andra datorer eller enheter som har delat nätverk med smittade datorer som inte har krypterats helt av ransomware.
    • Säkra dina säkerhetskopior. Säkerställ att dina säkerhetskopierade data är offline, säkra och fria från skadlig programvara.

Under denna undersökning – från den statiska och dynamiska analysen – upptäckte vi flera filer, domäner och botnät som fortfarande är aktiva i det fria. Alla artefakter tillhandahålls som listor och tillhörande larm finns tillgängliga för nedladdning som en del av Logpoints senaste version, samt via Logpoints nedladdningscenter.

Skräddarsydda playbooks för undersökning och respons har skickats till Logpoints Emerging Threat Protection-kunder.

Rapporten som innehåller analysen, infektionskedjan, identifiering och begränsning med hjälp av Logpoint SIEM och SOAR kan laddas ner via länken nedan.

Läs rapporten

Contact Logpoint

Contact us and learn why
industry-leading companies
choose Logpoint:

Download the report