19-06-2021

QBot: Omstillingsparat malware kaprer mailtråde

Center for Cybersikkerhed (CFCS) meddeler, atQBot (eller QakBot) er endnu én af de malware-familier, der bliver brugt som et tidligt stadie i et cyberangreb, som i sidste ende kan føre til læk af data eller målrettede ransomware-angreb.

Grupper af cyberkriminelle samarbejder, og det har blandt andet ført til, at der nu er en lille gruppe af malware-familier, som hyppigt bliver brugt i de tidlige faser af et cyberangreb. Derfor er det en god idé at kende disse familier og holde øje med dem på netværket.

I januar 2021 beskrev Center for Cybersikkerhed (CFCS), hvordan tilstedeværelsen af bestemte typer malware kan være et tegn på, at et ransomware-angreb er under opsejling. I forlængelse heraf har CFCS udgivet tekniske indikatorer for Gozi, SmokeBot og Bazar.

Denne gang har CFCS set nærmere på malwarefamilien QBot, der også er kendt som QakBot, QuakBot eller PinkslipBot. Det er malware, der har rødder tilbage til 2007, men løbende har udviklet sig. Cyberkriminelle har blandt andet brugt QBot i cyberangreb, der i sidste ende ledte til kryptering med DoppelPaymer ransomware.

Skifter IP-adresser
En del af QBots udvikling over tid har haft fokus på at gøre det vanskeligere at detektere malwaren. Det er sandsynligt, at QBot tilpasser sig over kortere tidsrum ved for eksempel at udskifte de IP-adresser, malwaren hyppigt bruger til at kontakte den bagvedliggende infrastruktur (Command & Control eller C2).

I et udtræk med en uges mellemrum af eksemplarer uploadet til Virustotal-tjenesten i december 2020, kunne man for eksempel se, at QBot-varianterne den ene uge indeholdt samlet 293 IP-adresser og i den næste uge 191 IP-adresser. Der var blot et overlap på 84 IP-adresser mellem de to uger.

Ifølge åbne kilder tilhører IP-adresserne kompromitterede servere, som Qbot benytter mellem malwaren og selve den infrastruktur, som benyttes til at kontrollere malwaren. Disse kompromitterede servere fungerer udelukkende som proxies.

Det er muligt, at aktører bag QBot følger med i, hvilke IP-adresser og andre tekniske indikatorer der offentliggøres, og derefter tilpasser malwaren.

På grund af denne hyppige udskiftning af IP-adresser, er det vanskeligt at detektere QBot alene ud fra observerede IP-adresser.

Avanceret phishing med Office-dokumenter og ZIP-filer
QBot bliver hovedsageligt spredt gennem phishing. Det kan være vedhæftede filer eller links til blandt andet Office-dokumenter. For eksempel Excel-regneark der indeholder en makro og instruktioner til modtageren om at tillade afvikling af makroen for at se indholdet. Det kan også være i ZIP-filer.

I begge tilfælde vil en lille stump programkode forsøge at downloade og køre det næste stadie i QBot-infektionskæden.

En særligt farlig egenskab ved QBot er, at den kan misbruges til at udføre mere sofistikerede phishing-angreb såsom ”e-mail thread hijacking”. Ved e-mail thread hijacking misbruger aktøren sin adgang til et offers e-mail konto til at udsende phishing-mails til offerets kontakter i form af svar på igangværende e-mailkorrespondancer. Fra modtagerens perspektiv kommer de inficerede mails derfor fra en troværdig afsender i naturlig forlængelse af allerede etablerede samtaler.

Ligesom QBot løbende skifter IP-adresser, forsøger aktørerne også at undgå detektion ved at sløre programkoden eller kryptere dele af malwaren. Ligesom flere andre malware-familier vil den også forsøge at undgå at blive afviklet i en ”sandbox”, som flere antimalware-programmer benytter for at opdage ondsindet kode.

Indikatorer for QBot
CFCS har samlet en liste over tekniske indikatorer (Indicators of Compromise eller IoC’er) baseret på fundne eksemplarer af nyere dato.

Listen kan ses her.

Da malwaren kan bruges som brohoved ind på en organisations netværk, kan tilstedeværelsen af QBot være et tegn på, at nogen forsøger eller allerede har forsøgt at stjæle sensitive data eller vil forsøge at udføre et ransomware-angreb.

Da QBot løbende tilpasses, kan det være vanskeligt at anvende IP-adresserne på proxy-serverne eller hashværdier af malwaren til detektion for at opdage et angreb, når det finder sted. Til gengæld kan IoC’erne have værdi, hvis man har log-filer og har mulighed for at se, om der har været trafik fra de pågældende IP-adresser. Det kan give et fingerpeg om, at nogen har forsøgt at angribe.

IoC’erne kan også anvendes, hvis man har mistanke om, at et angreb har fundet sted og har de fornødne log-filer. Det kan være en hjælp i undersøgelse af angrebet og genopretning af systemer, hvis man kan identificere malwaren eller aktøren.



Nyheder fra forsiden
Til "Samfund"  
Leverandører
Ændre marked
Sverige Danmark
Tilbage til toppen
Luk

Abonner på vores nyhedsbrev!


Med vores nyhedsbrev kan du få de seneste nyheder fra sikkerhedsmarkedet. Nyhedsbrevet sendes ugentligt, og du kan afmelde dig, når du ønsker det.