CarderPlanet
Professional
- Messages
- 2,552
- Reaction score
- 684
- Points
- 83
Несмотря на сбои в его инфраструктуре, злоумышленники, стоящие за вредоносным ПО QakBot, были связаны с продолжающейся фишинговой кампанией с начала августа 2023 года, которая привела к поставке программ-вымогателей Ransom Knight (он же Cyclops) и Remcos RAT.
Это указывает на то, что "операция правоохранительных органов, возможно, повлияла не на инфраструктуру доставки спама операторов Qakbot, а скорее только на их серверы командования и контроля (C2)", - сказал в новом отчете, опубликованном сегодня, исследователь Cisco Talos Гильерме Венере.
Фирма по кибербезопасности с умеренной уверенностью приписывает эту активность аффилированным лицам QakBot. На сегодняшний день нет доказательств того, что участники угрозы возобновили распространение самого загрузчика вредоносного ПО после демонтажа инфраструктуры.
QakBot, также называемый QBot и Pinkslipbot, возник как банковский троянец на базе Windows в 2007 году и впоследствии разработал возможности для доставки дополнительных полезных нагрузок, включая программы-вымогатели. В конце августа 2023 года печально известной вредоносной программе был нанесен удар в рамках операции под названием Утиная охота.
Последняя активность, начавшаяся непосредственно перед удалением, начинается с вредоносного файла LNK, который, вероятно, распространяется через фишинговые электронные письма, который при запуске запускает заражение и в конечном итоге запускает программу-вымогатель Ransom Knight, недавний ребрендинг схемы "Вымогатели как услуга" (RaaS) Cyclops.
Также были обнаружены ZIP-архивы, содержащие файлы LNK, содержащие файлы надстройки Excel (.XLL) для распространения Remcos RAT, что облегчает постоянный доступ черного хода к конечным точкам.
Некоторые имена файлов, используемые в кампании, написаны на итальянском, что предполагает, что злоумышленники нацелены на пользователей в этом регионе.
"Хотя мы не видели участников угрозы, распространяющих Qakbot после демонтажа инфраструктуры, мы оцениваем, что вредоносное ПО, вероятно, продолжит представлять значительную угрозу в будущем", - сказал Венере.
"Учитывая, что операторы остаются активными, они могут решить перестроить инфраструктуру Qakbot, чтобы полностью возобновить свою деятельность до удаления".
Это указывает на то, что "операция правоохранительных органов, возможно, повлияла не на инфраструктуру доставки спама операторов Qakbot, а скорее только на их серверы командования и контроля (C2)", - сказал в новом отчете, опубликованном сегодня, исследователь Cisco Talos Гильерме Венере.
Фирма по кибербезопасности с умеренной уверенностью приписывает эту активность аффилированным лицам QakBot. На сегодняшний день нет доказательств того, что участники угрозы возобновили распространение самого загрузчика вредоносного ПО после демонтажа инфраструктуры.
QakBot, также называемый QBot и Pinkslipbot, возник как банковский троянец на базе Windows в 2007 году и впоследствии разработал возможности для доставки дополнительных полезных нагрузок, включая программы-вымогатели. В конце августа 2023 года печально известной вредоносной программе был нанесен удар в рамках операции под названием Утиная охота.
Последняя активность, начавшаяся непосредственно перед удалением, начинается с вредоносного файла LNK, который, вероятно, распространяется через фишинговые электронные письма, который при запуске запускает заражение и в конечном итоге запускает программу-вымогатель Ransom Knight, недавний ребрендинг схемы "Вымогатели как услуга" (RaaS) Cyclops.
Также были обнаружены ZIP-архивы, содержащие файлы LNK, содержащие файлы надстройки Excel (.XLL) для распространения Remcos RAT, что облегчает постоянный доступ черного хода к конечным точкам.
Некоторые имена файлов, используемые в кампании, написаны на итальянском, что предполагает, что злоумышленники нацелены на пользователей в этом регионе.
"Хотя мы не видели участников угрозы, распространяющих Qakbot после демонтажа инфраструктуры, мы оцениваем, что вредоносное ПО, вероятно, продолжит представлять значительную угрозу в будущем", - сказал Венере.
"Учитывая, что операторы остаются активными, они могут решить перестроить инфраструктуру Qakbot, чтобы полностью возобновить свою деятельность до удаления".
