QakBot-Bedrohungsakteure: Ransom Knight und Remcos RAT-Angriffe
In der sich ständig weiterentwickelnden Landschaft der Cyber-Bedrohungen hat ein vertrauter Gegner erneut sein Haupt erhoben. QakBot, ein bekannter Malware- und Botnet-Betreiber mit einer langen Geschichte, ist zurückgekehrt und hat nach einer globalen Operation, bei der ein Teil seiner Server-Infrastruktur zerstört wurde, seine Hartnäckigkeit unter Beweis gestellt. Dieses Wiederaufleben wird von einem besorgniserregenden Trend begleitet: QakBot steht in Verbindung mit einer laufenden Phishing-Kampagne, die seit August den Remote Access Trojaner (RAT) Remcos und die Ransomware Ransom Knight verbreitet. Dieser Blog befasst sich mit den jüngsten Aktivitäten von QakBot-Bedrohungsakteurenund beleuchtet seine Verbindung zu diesen bösartigen Kampagnen sowie die möglichen Auswirkungen auf die Cybersicherheitslandschaft.
Enthüllung der Rückkehr der QakBot-Bedrohungsakteure
Trotz erheblicher infrastruktureller Störungen haben sich die Betreiber von QakBot als einfallsreich erwiesen. Sie haben sich aktiv an einer Phishing-Aktion beteiligt seit Anfang August 2023 aktiv an einer Phishing-Aktion beteiligt, die ihren Höhepunkt in der Verbreitung von Ransom Knight Ransomware-Angriffen (auch bekannt als Cyclops) und Remcos RAT.
Es ist erwähnenswert, dass die Durchsetzungsmaßnahme offenbar nur die Command-and-Control-Server (C2) von QakBot betraf und die Infrastruktur für den Spam-Versand unberührt ließ. Laut einem jüngsten Berichtgeht diese Enthüllung auf Untersuchungen von Guilherme Venere, einem Cybersicherheitsexperten bei Cisco Talos, zurück.
Zugehörigkeit mit mäßiger Zuversicht
Mit mäßiger Zuversicht bringen Cybersecurity-Experten diese laufende Kampagne mit QakBot-Teilnehmern in Verbindung. Wichtig ist, dass es keine Hinweise darauf gibt, dass die Bedrohungsakteure die Verbreitung des QakBot-Malware-Loaders fortgesetzt haben, nachdem die Infrastruktur abgeschaltet wurde. Dies wirft die Frage auf, ob die Bedrohungsakteure ein strategisches Ziel verfolgen und ob sie ihren Schwerpunkt auf neuere, hinterhältigere Taktiken verlagert haben.
Die QakBot-Reise
Bei der Formulierung einer robusten Sicherheitsmaßnahmen gegen QakBot und Remcos RAT Angriffe zu formulieren, ist es unerlässlich, über die sich weiterentwickelnden Taktiken und Strategien dieser Bedrohungsakteure informiert zu sein. QakBotQakBot, auch bekannt als QBot und Pinkslipbot, tauchte erstmals 2007 als Windows-basierter Banking-Trojaner auf. Im Laufe der Zeit entwickelte er sich weiter und übertrug neue Nutzdaten, einschließlich Ransomware. Ende August 2023 erlitt diese legendäre Malware-Operation im Rahmen einer Operation mit dem treffenden Namen "Duck Hunt" jedoch einen schweren Rückschlag, was auf den Wunsch der Behörden hinwies, ihre Aktivitäten zu stoppen.
Die jüngste Kampagne
Im Bereich der Cybersicherheit, Cyber-Bedrohungen auf QakBot zurückführen ist für Unternehmen weltweit zu einem kritischen Thema geworden. Die jüngste Aktivitätswelle, die kurz vor der Zerschlagung der Infrastruktur begann, wird normalerweise durch eine bösartige LNK-Datei. Diese Datei wird häufig über Phishing-E-Mails verschickt. Wenn sie aktiviert wird, setzt sie den Infektionsprozess in Gang, der zur Verbreitung von Ransom Knight Ransomware führt. Ransom Knight ist eine kürzlich erfolgte Umbenennung des Cyclops Ransomware-as-a-Service (RaaS)-Programms, das die Entwicklung von Cyber-Bedrohungen betont.
Remcos RAT Cyberangriffe in Verbindung mit QakBotsind zusätzlich zu Ransom Knight ein wesentlicher Aspekt dieser Kampagne geworden. Es wurde festgestellt, dass die ZIP-Ordner mit den LNK-Dateien Excel-Add-In-Dateien (.XLL) enthalten. Diese Dateien werden verwendet, um das Remcos RAT zu verbreiten, das Bedrohungsakteuren kontinuierlichen Backdoor-Zugriff auf kompromittierte Endpunkte ermöglicht. Die Verwendung von Remcos RAT unterstreicht die Komplexität dieser Kampagne.
Die Verwendung von Dateinamen in italienischer Sprache ist eine ungewöhnliche Komponente dieser Strategie. Dies deutet auf eine gezielte Aktion hin, bei der die Bedrohungsakteure auf Benutzer in der italienischsprachigen Region abzielen. Die Spezifität der Ziele deutet auf eine strategische Absicht hin, die über opportunistische Angriffe hinausgeht.
Untersuchungen der QakBot Malware-Gruppe
Trotz der infrastrukturellen Probleme warnen Experten, dass QakBot nicht übersehen werden sollte. "Obwohl wir die Bedrohungsakteure, die QakBot verbreiten, nach der Zerschlagung der Infrastruktur nicht mehr gesehen haben, gehen wir davon aus, dass die Malware auch in Zukunft eine erhebliche Bedrohung darstellen wird" sagt Guilherme Venere von Cisco Talos. "Da die Betreiber immer noch aktiv sind, könnten sie sich dazu entschließen, die Qakbot-Infrastruktur wieder aufzubauen, um die Aktivitäten vor dem Takedown wieder in vollem Umfang aufzunehmen." Dies unterstreicht, wie wichtig es ist, angesichts der sich weiterentwickelnden Bedrohungen wachsam zu bleiben.
Erweitertes Arsenal
Überraschenderweise hört dieser Angriffszyklus nicht mit dem Einsatz von Ransom Knight und Remcos RAT auf. Andere Malware, wie DarkGate, MetaStealer und RedLine Stealer, wurde über dieselbe Infrastruktur verbreitet. Das Ausmaß dieser Aktivitäten ist schwer einzugrenzen, aber das Vertriebsnetz von QakBot hat seinen Wert immer wieder unter Beweis gestellt. Es hat nicht nur Opfer in Italien, sondern auch in Deutschland und anderen englischsprachigen Ländern ins Visier genommen, was die globale Reichweite der Kampagne beweist.
Schlussfolgerung
Diese Ransomware-Kampagnen von QakBot-Akteurensowie ihre Verbindung zur Verbreitung von Ransom Knight und Remcos RAT sind ein deutlicher Hinweis auf die sich ständig verändernde Gefahr, der Organisationen und Einzelpersonen ausgesetzt sind. Trotz der Tatsache, dass die Infrastruktur von QakBot von den Strafverfolgungsbehörden ins Visier genommen wurde, bleiben die Bedrohungsakteure aktiv und flexibel.
Da sich ihre Strategien und Ziele weiterentwickeln, müssen Cybersicherheitsexperten und Unternehmen wachsam bleiben und ihre Abwehrmaßnahmen verstärken, um diese und andere neue Bedrohungen zu bekämpfen. Immer einen Schritt voraus Bedrohungen in einer digitalen Welt, die sich ständig weiterentwickelt, einen Schritt voraus zu sein, ist für die Aufrechterhaltung einer sicheren Online-Umgebung von entscheidender Bedeutung.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und SC Medien.