Эта вредоносная программа развивается, чтобы стать более опасной, чем когда-либо
вычисления techradar.com Новости

Эта вредоносная программа развивается, чтобы стать более опасной, чем когда-либо

6 июня 2023 г.

В прошлом году Microsoft хорошо поработала над замедлением распространения вредоносных программ, когда, наконец, запрещен запуск макросов в файлах Office, загруженных из открытого Интернета. Но когда дело доходит до ужасного вредоносного ПО Qbot, блокировка является лишь незначительной неудачей.

Последнее исследование Black Lotus Labs, основанное на телеметрии глобальной IP-магистральной сети Lumen, показывает, что операторы Qbot быстро среагировали. адаптироваться, меняя не только методы их распространения и развертывания, но и серверы управления и контроля (C2).

Учитывая все обстоятельства, Qbot представляет собой не меньшую угрозу, чем когда-то, когда файлы Office, загруженные макросами, были притчей во языцех.

Отказоустойчивые C2

«Qakbot проявил настойчивость, приняв практический подход к созданию и развитию своей архитектуры», — говорится в отчете. «Хотя он не может полагаться только на цифры, как Emotet, он демонстрирует техническое мастерство, варьируя методы начального доступа и поддерживая устойчивую, но уклончивую жилую архитектуру C2».

Когда Microsoft внесла основное изменение макроса, операторы Qbot положили низкой в ​​течение нескольких месяцев, чтобы вновь появиться в начале 2023 года с новыми методами распределения. К ним относятся вредоносные файлы OneNote, методы обхода Mark of the Web, а также контрабанда HTML.

Подробнее

> Компания Fujifilm остановлена ​​серьезной атакой программы-вымогателя <сильный>

> Это печально известное вредоносное ПО вернулось через несколько месяцев

> Это лучшие межсетевые экраны

Группа также изменила способ управления серверами C2. В настоящее время они прячут их на скомпрометированных веб-серверах и размещают в существующем жилом IP-пространстве (в отличие от размещенного VPS).

Поскольку трудно сохранять эти конечные точки. , серверы долго не задерживаются. Тем не менее, их сила в количестве, так как каждую неделю во время цикла спама ботнета появляется до 90 новых C2.

Кроме того, операторы могут увеличить свои номера C2, превратив ботов в серверы. Исследователи говорят, что это важно для работы, поскольку 25% C2 активны только в течение дня, а 50% не длятся дольше недели.

Учитывая все обстоятельства, можно с уверенностью предположить, что Qbot будет существовать еще долгое время, заключают исследователи: «В настоящее время нет никаких признаков замедления работы Qakbot», — говорят они.

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE