Notícias de dispositivos móveis, gadgets, aplicativos Android

Pesquisadores descobriram a notória infraestrutura C2 do malware QakBot

Os pesquisadores da Tam Cymru revelaram recentemente padr√Ķes e irregularidades not√°veis ‚Äč‚Äčem seu monitoramento cont√≠nuo da infraestrutura de comando e controle do QakBot.

Os pesquisadores compartilharam insights de alto nível sobre as descobertas, lançando luz sobre tendências emergentes e atividades incomuns relacionadas ao QakBot.

Dos servidores C2 voltados para as v√≠timas, a an√°lise das conex√Ķes de sa√≠da revela o n√≠vel 2 infraestrutura por meio de padr√Ķes de comunica√ß√£o com pares comuns, muitas vezes usando uma porta de gerenciamento espec√≠fica e mantendo intera√ß√Ķes cont√≠nuas e prolongadas.

Normalmente, uma porta de gerenciamento espec√≠fica √© utilizada para comunica√ß√£o, e essas intera√ß√Ķes tendem a persistir por longos per√≠odos na maioria dos casos. A utiliza√ß√£o de uma porta de gerenciamento dedicada garante uma comunica√ß√£o consistente e prolongada.

Infraestrutura C2 do malware QakBot

Ao identificar com sucesso o n√≠vel 2 (T2), os pesquisadores ganham a capacidade de identificar os servidores ativos de comando e controle (C2) voltados para as v√≠timas por meio da an√°lise das conex√Ķes estabelecidas com essa camada T2.

A comunica√ß√£o persistente sobre TCP/443 tem sido observada h√° v√°rios meses entre os servidores de comando e controle (C2) ligados ao Qakbot e dois IDs afiliados, nomeadamente ‚ÄúObama‚ÄĚ e ‚ÄúBB‚ÄĚ, com tr√™s identificadores de n√≠vel russo upstream. 2 (T2) servidores.

Esta ligação contínua sugere uma relação significativa entre as campanhas identificadas e os servidores T2 específicos.

Os endereços IP russos são comumente empregados em redes de botnets avançadas porque fornecem uma proteção contra agências policiais e pesquisadores não russos.

Embora isso crie uma oposi√ß√£o onde conex√Ķes recorrentes de diversos IPs de origem para o espa√ßo IP russo parecem suspeitas ou fascinantes.

Os especialistas analisaram os dados de configuração C2 das campanhas QakBot em abril de 2023 e verificaram que os servidores T2 russos upstream não sofreram nenhuma modificação.

N√≥s recomendamos:  Novo malware Android usa reconhecimento √≥ptico de caracteres para roubar credenciais de login

Posteriormente, foi realizado um exame minucioso de todos os servidores C2 para identificar aqueles espec√≠ficos que estabeleceram conex√Ķes via TCP/443.

O tr√°fego upstream dos servidores C2 apresentou um padr√£o curioso, visto que foi encontrado nas configura√ß√Ķes associadas a ambas as campanhas:-

  • Campanhas de Obama
  • Campanhas BB

Esta sobreposição intrigante sugere uma ligação potencial entre as duas campanhas no que diz respeito à utilização destes servidores.

Durante o per√≠odo especificado, as campanhas de Obama tiveram cinco IPs distintos exclusivamente associados a elas, enquanto a campanha do BB teve apenas um IP √ļnico.

Aqui abaixo mencionamos esses IPs: –

Obama:

  • 59.153.96.4
  • 73.22.121.210
  • 119.82.121.251
  • 189.151.95.176
  • 197.94.95.20

BB:

De 1 Mar√ßo para 8 Em maio de 2023, foram analisados ‚Äč‚Äčos fluxos de tr√°fego provenientes dos servidores C2 ativos mencionados anteriormente. Esses fluxos foram ent√£o categorizados com base nas configura√ß√Ķes de afiliados em que foram encontrados.

No geral, não se observa nenhuma separação clara entre as afiliadas com base na infra-estrutura upstream utilizada pelos seus servidores C2 para comunicação.

Durante dois dias, um determinado servidor C2 associado ao BB permaneceu ativo. Ele se comunicou principalmente com o RU3, mas teve uma conex√£o com o RU2 no primeiro dia.

Ao longo das campanhas de Obama, os servidores C2 estabeleceram comunica√ß√£o predominantemente com RU2 e RU3, apresentando os seus principais pontos de contacto. No entanto, no in√≠cio de abril, houve intera√ß√Ķes limitadas com RU1.

RU2 e RU3 demonstram padr√Ķes semelhantes em seu comportamento, sugerindo um n√≠vel de consist√™ncia entre eles. Por outro lado, RU1 desvia-se desta tend√™ncia e segue um padr√£o distinto e √ļnico.

Geolocalização IP

Em mar√ßo, houve uma mudan√ßa na atividade C2 com aumento de IPs da √ćndia e dos EUA, uma diminui√ß√£o nos servidores C2 ativos em diferentes locais e RU2 e RU3 recebendo tr√°fego de servidores C2 dos EUA e de outros servidores norte-americanos n√£o vistos com RU1.

N√≥s recomendamos:  Como ocultar aplicativos no Android?

RU1 dependia principalmente de hosts na √ćndia com diversidade limitada, enquanto ocasionalmente se conectava a servidores C2 dos EUA e da Rep√ļblica Tcheca durante fevereiro e mar√ßo.

Em Fevereiro, os anfitri√Ķes CZ comunicaram com todos os tr√™s T2, enquanto recentemente os anfitri√Ķes sul-africanos (ZA) come√ßaram a ligar-se a todos os tr√™s T2.

Recomenda√ß√Ķes

A seguir mencionamos todas as recomenda√ß√Ķes oferecidas pelos especialistas em seguran√ßa cibern√©tica: –

  • Certifique-se de usar os IOCs listados para detectar infec√ß√Ķes atuais de QakBot e prevenir ataques futuros.
  • Identifique servidores T2 russos consultando a lista IOC e filtrando conex√Ķes de sa√≠da para TCP/443 remoto usando Pure Signal Recon e Scout.
  • Certifique-se de girar as conex√Ķes de entrada para servidores T2 russos para revelar a infraestrutura QakBot C2 em evolu√ß√£o.

Table of Contents