Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Дом
Aug 13, 2023
Как ФБР уничтожило вредоносное ПО Qakbot с зараженных компьютеров под управлением Windows
ФБР объявило сегодня о нарушении работы ботнета Qakbot в рамках международной операции правоохранительных органов, которая не только захватила инфраструктуру, но и удалила вредоносное ПО с зараженных устройств.
ФБР объявило сегодня о нарушении работы ботнета Qakbot в рамках международной операции правоохранительных органов, которая не только захватила инфраструктуру, но и удалила вредоносное ПО с зараженных устройств.
В ходе операции правоохранительных органов «Утиная охота», проведенной в минувшие выходные, ФБР перенаправило сетевые коммуникации ботнета на серверы, находящиеся под его контролем, что позволило агентам идентифицировать около 700 000 зараженных устройств (200 000 расположены в США).
После того, как они взяли под свой контроль ботнет, ФБР разработало метод удаления вредоносного ПО с компьютеров жертв, фактически демонтируя инфраструктуру ботнета, от компьютеров жертв до собственных компьютеров операторов вредоносного ПО.
Прежде чем мы узнаем, как ФБР удалило Qakbot с компьютеров, важно понять, как распространялось вредоносное ПО, какое вредоносное поведение оно осуществляло и кто его использовал.
Qakbot, также известный как Qbot и Pinkslipbot, появился в 2008 году как банковский троян и использовался для кражи банковских учетных данных, файлов cookie веб-сайтов и кредитных карт с целью финансового мошенничества.
Однако со временем вредоносное ПО превратилось в службу доставки вредоносного ПО, используемую другими субъектами угроз для получения первоначального доступа к сетям для проведения атак с использованием программ-вымогателей, кражи данных и других злонамеренных кибердействий.
Qakbot распространяется через фишинговые кампании, в которых используются различные приманки, в том числе атаки по электронной почте с использованием цепочки ответов, когда злоумышленники используют украденную ветку электронной почты, а затем отвечают на нее своим собственным сообщением и прикрепленным вредоносным документом.
Эти электронные письма обычно содержат вредоносные документы в виде вложений или ссылки для загрузки вредоносных файлов, которые устанавливают вредоносное ПО Qakbot на устройство пользователя.
Эти документы меняются в зависимости от фишинговых кампаний и варьируются от документов Word или Excel с вредоносными макросами, файлов OneNote со встроенными файлами до вложений ISO с исполняемыми файлами и ярлыками Windows. Некоторые из них также предназначены для эксплуатации уязвимостей нулевого дня в Windows.
Независимо от того, как распространяется вредоносное ПО, после установки Qakbot на компьютер он будет внедрен в память легитимных процессов Windows, таких как wermgr.exe или AtBroker.exe, чтобы попытаться избежать обнаружения программным обеспечением безопасности.
Например, на изображении ниже показано вредоносное ПО Qbot, внедренное в память законного процесса wermgr.exe.
Как только вредоносное ПО запускается на устройстве, оно сканирует информацию, которую можно украсть, включая электронные письма жертвы, для использования в будущих фишинговых кампаниях по электронной почте.
Однако операторы Qakbot также сотрудничали с другими субъектами угроз, чтобы способствовать киберпреступности, например, предоставляя бандам программ-вымогателей первоначальный доступ к корпоративным сетям.
В прошлом Qakbot сотрудничал с несколькими компаниями-вымогателями, включая Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex и, совсем недавно, Black Basta и BlackCat/ALPHV.
ФБР сообщает, что в период с октября 2021 года по апрель 2023 года операторы Qakbot заработали около 58 миллионов долларов на выплатах вымогателям.
В рамках сегодняшнего заявления ФБР заявляет, что им удалось ликвидировать ботнет, захватив серверную инфраструктуру злоумышленника и создав специальный инструмент удаления, который удалил вредоносное ПО Qakbot с зараженных устройств.
Согласно заявлению на ордер на арест, опубликованному Министерством юстиции, ФБР смогло получить доступ к компьютерам администратора Qakbot, что помогло правоохранительным органам составить карту серверной инфраструктуры, используемой в работе ботнета.
На основании расследования ФБР установило, что ботнет Qakbot использовал серверы управления и контроля уровня 1, уровня 2 и уровня 3, которые используются для выдачи команд на выполнение, установки обновлений вредоносного ПО и загрузки дополнительных полезных данных партнеров на устройства. .
Серверы Tier-1 — это зараженные устройства с установленным модулем «супернода», выполняющие роль части инфраструктуры управления ботнетом, причем часть жертв находится в США. Серверы Tier-2 также являются серверами управления и контроля, но операторы Qakbot управляют ими, обычно с арендованных серверов за пределами США.