QakBot恶意软件运营商通过15台新服务器扩展C2网络

截至 2023 年 6 月下旬，与 QakBot（又名 QBot）恶意软件相关的运营商已设置了 15 个新的命令和控制 (C2) 服务器。

这些发现是 Cymru 团队对恶意软件基础设施分析的延续，在 Lumen Black Lotus Labs透露其 25% 的 C2 服务器仅在一天内处于活动状态两个多月后得出。

该网络安全公司表示：“QakBot 历来每年夏天都会短暂休息，然后在 9 月份的某个时候回归，今年的垃圾邮件活动将于 2023 年 6 月 22 日左右停止。”

“但是 QakBot 操作员在不发送垃圾邮件时实际上是在度假吗？还是说这个‘休息’是他们完善和更新基础设施和工具的时间？”

与 Emotet 和 IcedID 一样，QakBot 的 C2 网络的特点是分层架构，其中 C2 节点与位于俄罗斯的 VPS 提供商托管的上游第 2 层 (T2) C2 节点进行通信。

与受害者主机通信的大多数僵尸程序 C2 服务器位于印度，从出站 T2 连接中识别出的美国目标 IP 地址主要位于美国、印度、墨西哥和委内瑞拉。

与 C2 和第 2 层 C2 一起存在的还有BackConnect (BC) 服务器，该服务器将受感染的机器人转变为用于其他恶意目的的代理。

Cymru 团队的最新研究表明，与 T2 层通信的现有 C2 数量已显着减少，只剩下 8 个，部分原因是 Black Lotus Labs 在 2023 年 5 月对更高层基础设施进行了零路由。

该公司表示：“我们观察到，6 月 2 日，美国 C2 几乎消失，来自印度 C2 的流量显着减少。”该公司将美国活动的缺乏归因于 T2 层的零路由。

除了 15 台 C2 服务器之外，还有 6 台自 6 月之前就处于活动状态的 C2 服务器以及 2 台在 6 月启用的 C2 服务器在垃圾邮件发送结束后在 7 月继续表现出活动。

对 NetFlow 数据的进一步分析显示了一种模式，其中“出站 T2 连接增加的情况通常发生在入站机器人 C2 连接的活动峰值之后”，并且“出站 T2 连接的峰值经常与机器人 C2 活动的下降相对应”。

Cymru 团队表示：“通过 T2 通信将受害者提升为 C2 基础设施，QakBot 有效地惩罚了用户两次，首先是最初的妥协，其次是主机被公开识别为恶意的潜在声誉风险。”

该公司指出，通过切断与上游服务器的通信，可以防止受害者接收 C2 指令，从而有效保护当前和未来的用户免受损害。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7720.html