Acteurs de la menace QakBot : Attaques Ransom Knight et Remcos RAT
Dans le paysage en constante évolution des cybermenaces, un adversaire familier a refait surface. QakBot, un opérateur de logiciels malveillants et de réseaux de zombies bien connu depuis longtemps, est de retour, faisant preuve de sa ténacité après une opération mondiale qui a détruit une partie de son infrastructure de serveurs. Cette renaissance s'accompagne d'une tendance inquiétante : L'association de QakBot à une campagne de phishing en cours qui diffuse le cheval de Troie d'accès à distance (RAT) Remcos et le ransomware Ransom Knight depuis le mois d'août. Ce blog se penche sur les activités récentes des acteurs de la menace acteurs de la menace QakBotIl met en lumière son lien avec ces campagnes malveillantes et les implications potentielles pour le paysage de la cybersécurité.
Retour des acteurs de la menace QakBot
Malgré d'importantes perturbations infrastructurelles, les opérateurs de QakBot ont fait preuve d'ingéniosité. Ils ont participé activement à un effort d'hameçonnage depuis le début du mois d'août 2023, qui a abouti à la diffusion des attaques par ransomware "Ransom Knight". Ransom Knight ransomware attacks (également connu sous le nom de Cyclops) et du RAT Remcos.
Il convient de noter que l'opération de mise en application ne semble avoir touché que les serveurs de commande et de contrôle (C2) de QakBot, l'infrastructure de diffusion du spam n'ayant pas été affectée. Selon un rapport récentcette révélation découle d'une recherche menée par Guilherme Venere, expert en cybersécurité chez Cisco Talos.
Affiliation avec une confiance modérée
Avec un degré de confiance modéré, les experts en cybersécurité établissent un lien entre cette campagne en cours et les affiliés de QakBot. Il est important de noter que rien n'indique que les auteurs de la menace ont continué à distribuer le chargeur de logiciels malveillants QakBot après la mise hors service de l'infrastructure. On peut donc s'interroger sur leur objectif stratégique et se demander s'ils ne se sont pas tournés vers de nouvelles tactiques plus sournoises.
Le voyage de QakBot
Lors de la formulation d'une sécurité aux attaques de QakBot et de Remcos RAT il est impératif de se tenir informé de l'évolution des tactiques et des stratégies employées par ces acteurs de la menace. QakBotQakBot, également connu sous les noms de QBot et Pinkslipbot, est apparu pour la première fois en 2007 sous la forme d'un cheval de Troie bancaire basé sur Windows. Il a évolué au fil du temps pour transmettre de nouvelles charges utiles, notamment des rançongiciels. Cependant, à la fin du mois d'août 2023, au cours d'une opération judicieusement baptisée Duck Hunt, cette opération légendaire de logiciels malveillants a subi un sérieux revers, indiquant la volonté des autorités de mettre un terme à ses activités.
La campagne récente
Dans le domaine de la cybersécurité, l'attribution des cybermenaces à QakBot est devenue une préoccupation majeure pour les organisations du monde entier. La dernière vague d'activité, qui a commencé peu avant le démantèlement de l'infrastructure, est normalement initiée par un fichier LNK malveillant. Ce fichier est souvent envoyé par des courriels d'hameçonnage. Lorsqu'il est activé, il lance le processus d'infection qui aboutit au déploiement du ransomware Ransom Knight. Ransom Knight est un changement de marque récent du programme Cyclops de ransomware en tant que service (RaaS) qui met l'accent sur l'évolution des cybermenaces.
Les cyberattaques du RAT Remcos liées à QakBotOutre le Ransom Knight, les cyberattaques de type RAT liées à QakBot sont devenues un aspect essentiel de cette campagne. Les dossiers ZIP contenant les fichiers LNK contiennent des fichiers d'extension Excel (.XLL). Ces fichiers sont utilisés pour diffuser le RAT Remcos, qui permet aux acteurs de la menace d'accéder en permanence par une porte dérobée aux points de terminaison compromis. L'utilisation du RAT Remcos souligne la complexité de cette campagne.
L'utilisation de noms de fichiers rédigés en italien est un élément inhabituel de cette stratégie. Cela indique un effort ciblé, les acteurs de la menace visant les utilisateurs de la région italophone. La spécificité de leur cible implique un niveau d'intention stratégique qui va au-delà des attaques opportunistes.
Enquêtes sur le groupe de logiciels malveillants QakBot
Malgré ses problèmes d'infrastructure, les experts préviennent que QakBot ne doit pas être négligé. "Bien que nous n'ayons pas vu les acteurs de la menace distribuant QakBot après le démantèlement de l'infrastructure, nous estimons que le logiciel malveillant continuera probablement à représenter une menace importante à l'avenir", déclare Guilherme Venere de Cisco Talos. déclare Guilherme Venere de Cisco Talos. "Étant donné que les opérateurs sont toujours actifs, ils pourraient décider de reconstruire l'infrastructure de QakBot afin de rétablir les activités antérieures au démantèlement. Cela souligne l'importance de rester vigilant face à l'évolution des menaces.
Un arsenal en expansion
Il est surprenant de constater que ce cycle d'agression ne s'arrête pas au déploiement de Ransom Knight et de Remcos RAT. D'autres logiciels malveillants, tels que DarkGate, MetaStealer et RedLine Stealer, ont été diffusés à l'aide de la même infrastructure. L'ampleur de cette activité est difficile à cerner, mais le réseau de distribution de QakBot n'a cessé de démontrer sa valeur. Il a ciblé des victimes non seulement en Italie, mais aussi en Allemagne et dans d'autres pays anglophones, ce qui démontre la portée mondiale de la campagne.
Conclusion
Ces campagnes de campagnes de ransomware menées par les acteurs de QakBotainsi que leur lien avec la propagation de Ransom Knight et de Remcos RAT, nous rappellent que le danger auquel sont confrontés les organisations et les particuliers est en constante évolution. Bien que son infrastructure ait été ciblée par les forces de l'ordre, les acteurs de QakBot restent actifs et flexibles.
À mesure que leurs stratégies et leurs cibles évoluent, les experts en cybersécurité et les organisations doivent rester vigilants et renforcer leurs défenses pour lutter contre cette menace et d'autres menaces émergentes. Garder une longueur d'avance des menaces dans un monde numérique en constante évolution est essentiel pour maintenir un environnement en ligne sécurisé.
Les sources de cet article comprennent des articles dans The Hacker News et SC Media.