QakBot Kötü Amaçlı Yazılımı, Konaklama Sektörünü Hedef Alan Yeni Taktiklerle Yeniden Ortaya Çıkıyor

QakBot kötü amaçlı yazılımını dağıtan yeni bir kimlik avı mesajı dalgası, bir kolluk kuvvetinin komuta ve kontrol (C2) ağına sızarak altyapısının söküldüğünü görmesinden üç aydan fazla bir süre sonra gözlemlendi.

Keşfi yapan Microsoft, bunu 11 Aralık 2023'te başlayan ve konaklama sektörünü hedef alan düşük hacimli bir kampanya olarak nitelendirdi.

Teknoloji devi, X'te (eski adıyla Twitter) paylaşılan bir dizi gönderide, "Hedefler, IRS çalışanı kılığına giren bir kullanıcıdan bir PDF aldı" dedi.

"PDF, dijital olarak imzalanmış bir Windows Installer'ı (.msi) indiren bir URL içeriyordu. MSI'ın yürütülmesi, gömülü bir DLL'nin dışa aktarma 'hvsi' yürütmesi kullanılarak Qakbot'un çağrılmasına yol açtı."

Microsoft, yükün kampanyanın başladığı gün oluşturulduğunu ve daha önce görülmemiş sürüm 0x500 ile yapılandırıldığını söyledi.

Zscaler ThreatLabz, X'te paylaşılan bir gönderide, yeniden ortaya çıkan QakBot'u ağ şifrelemesi için AES kullanan ve /teorema505 yoluna POST istekleri gönderen 64 bitlik bir ikili dosya olarak tanımladı.

QBot ve Pinkslipbot olarak da adlandırılan QakBot, yetkililerin altyapısına erişmeyi başarması ve virüslü bilgisayarlara kötü amaçlı yazılımı etkisiz hale getirmek için bir kaldırıcı dosyası indirmeleri talimatını vermesinin ardından Duck Hunt Operasyonu adlı koordineli bir çabanın parçası olarak kesintiye uğradı.

Geleneksel olarak kötü amaçlı ekler veya köprüler içeren spam e-posta mesajları aracılığıyla dağıtılan QakBot, hassas bilgileri toplamanın yanı sıra fidye yazılımı da dahil olmak üzere ek kötü amaçlı yazılımlar dağıtabilir.

Ekim 2023'te Cisco Talos, QakBot bağlı kuruluşlarının fidye yazılımı, uzaktan erişim truva atları ve hırsız kötü amaçlı yazılımlarının bir karışımını sunmak için kimlik avı tuzaklarından yararlandığını ortaya çıkardı.

QakBot'un dönüşü, kolluk kuvvetleri tarafından dağıtıldıktan aylar sonra 2021'in sonlarında yeniden ortaya çıkan ve daha düşük bir seviyede de olsa kalıcı bir tehdit olarak kalan Emotet'in dönüşünü yansıtıyor.

Kötü amaçlı yazılımın eski ihtişamına geri dönüp dönmeyeceği henüz belli olmasa da, bu tür botnet'lerin dayanıklılığı, kuruluşların Emotet ve QakBot kampanyalarında kullanılan spam e-postaların kurbanı olmaktan kaçınma ihtiyacının altını çiziyor.