Mit <kes>+ lesen

QakBot-Bedrohungsakteure weiter aktiv

Trotz der Zerschlagung ihrer Infrastruktur sind die Bedrohungsakteure hinter der QakBot-Malware offenbar aktiver denn je. So werden sie mit einer seit Anfang August 2023 laufenden Phishing-Kampagne in Verbindung gebracht, die zur Verbreitung der Ransomware Ransom Knight (auch bekannt als Cyclops) und des Remcos RAT führte.

Bedrohungen
Lesezeit 1 Min.

Aktuelle Beobachtungen deuten darauf hin, dass „die Strafverfolgungsmaßnahme möglicherweise nicht die Spam-Versandinfrastruktur der Qakbot-Betreiber, sondern nur ihre Command-and-Control (C2)-Server beeinträchtigt hat“, so Cisco Talos-Forscher Guilherme Venere in einem jetzt veröffentlichten Blog-Beitrag. Die Aktivitäten werden von Cisco mit mittlerer Sicherheit QakBot-Partnern zugeschrieben. Bisher gibt es keine Anzeichen dafür, dass die Bedrohungsakteure den Malware-Loader nach der Zerschlagung der Infrastruktur wieder in Umlauf gebracht haben.

QakBot, auch QBot und Pinkslipbot genannt, war ursprünglich ein windowsbasierter Banking-Trojaner aus dem Jahr 2007 und entwickelte später Fähigkeiten, um zusätzliche Nutzlasten, einschließlich Ransomware, zu übertragen. Ende August 2023 wurde den berüchtigten Malware-Akteuren im Rahmen der „Duck Hunt“-Operation ein massiver Schlag versetzt.

Die jüngsten Aktivitäten, die kurz vor der Zerschlagung begannen, starten mit einer bösartigen LNK-Datei, die wahrscheinlich über Phishing-E-Mails verbreitet wird und beim Starten die Infektion auslöst. So wird schließlich die Ransomware Ransom Knight ausgebracht, eine Neuauflage des Cyclops Ransomware-as-a-Service (RaaS)-Programms.

Es wurde beobachtet, dass die ZIP-Archive mit den LNK-Dateien auch Excel-Add-In-Dateien (.XLL) enthalten, um das Remcos RAT zu verbreiten, das einen dauerhaften Backdoor-Zugriff auf die Endpunkte ermöglicht. Einige der Dateinamen, die in der Kampagne verwendet werden, sind in italienischer Sprache verfasst, was darauf hindeutet, dass die Angreifer auf Benutzer in dieser Region abzielen.

„Obwohl wir die Bedrohungsakteure, die Qakbot verbreiten, nach der Zerschlagung der Infrastruktur nicht mehr gesehen haben, gehen wir davon aus, dass die Malware auch in Zukunft eine erhebliche Bedrohung darstellen wird“, so Venere. „Da die Betreiber weiterhin aktiv sind, könnten sie sich dazu entschließen, die Qakbot-Infrastruktur wieder aufzubauen, um ihre Aktivitäten wie vor dem Takedown vollständig wieder aufzunehmen.“ Cisco Talos erklärte, dass die Angriffsketten auch zur Verbreitung anderer Malware wie DarkGate, MetaStealer und RedLine Stealer genutzt werden.

„Es ist schwierig, das wahre Ausmaß zu bestimmen, aber wie wir bereits gesehen haben, ist das QakBot-Verteilnetzwerk sehr effektiv und in der Lage, groß angelegte Kampagnen durchzuführen“, so Venere weiter. „Wir haben Phishing-E-Mails beobachtet, die diese Malware an italienische, deutsche und englische Opfer verbreiten. Das zeigt, dass die Kampagne weit verbreitet ist.“

Diesen Beitrag teilen: