bencede
New member
Uluslararası savcıların ağustos ayı sonunda yaklaşık 700.000 Qakbot drone’u etkisiz hale getirerek botnet’i devre dışı bırakmasının ardından, arkasındaki beyinler hala aktif ve fidye yazılımı dağıtıyor. Cisco-Talos’taki BT güvenliği araştırmacılarının gözlemlediği şey budur.
Duyuru
Siber araştırmacılar analizlerinde, suçluların ağustos ayının başında Ransom Knight (Cyclops) fidye yazılımını ve Remcos arka kapısını kimlik avı e-postaları yoluyla dağıttıkları bir kampanya başlattıklarını yazdı. Kampanya, FBI’ın Qakbot botnet’e karşı düzenlediği operasyondan önce başladı; Talos çalışanları, komuta ve kontrol altyapısının devre dışı bırakıldığı ancak spam dağıtım sistemlerinin devre dışı bırakıldığı sonucuna vardı.
Qakbot Gang: Diğer fidye yazılımlarının dağıtımı
Şimdiye kadar siber suçlular, kaldırıldıktan sonra Qakbot kötü amaçlı yazılımını değil, başka fidye yazılımlarını dağıttı. Ancak geliştiriciler tutuklanmadığı ve hâlâ faaliyette oldukları için Cisco-Talos, Qakbot altyapısını yeniden inşa edebileceklerini tahmin ediyor. BT araştırmacıları, LNK dosyalarında yer alan bilgilere dayanarak Qakbot’u görevlendirdi; meta veriler önceki Qakobot kampanyalarınınkilerle eşleşiyordu: kaynak makineler aynıydı ve sürücü seri numaraları aynıydı.
LNK dosyaları, PowerShell’i parametrelerle başlatır ve kötü amaçlı yazılımı oradan başlatmak için örneğin WebDAV aracılığıyla İnternet’teki ağ paylaşımlarına işaret eder. Siber araştırmacılar, saldırganların komut satırı aracılığıyla indirilen dosyaların algılanmasını önlemek için bu durumdan yararlanabileceğinden şüpheleniyor. LNK dosya adlarının acil mali konularla ilgili olması, bunların kimlik avı e-postaları aracılığıyla dağıtıldığını gösteriyor. Önceki Qakbot kampanyalarıyla tutarlıydılar. Bunlar şöyle bir şeydi: ATTENTION-Invoice-29-August.docx.lnk, bank transfer request.lnk, Booking info.pdf.lnk VEYA FRAUD bank transfer report.pdf.lnk ve benzeri.
LNK dosyaları, XLL dosyalarını da içeren ZIP arşivlerinde bulunuyordu. Bunlar Excel simgesiyle görüntülenen Excel eklentileridir. Bu dosyalar, Ransom Knight fidye yazılımıyla birlikte çalışan Remcos arka kapısını içerir. Bu, saldırganların enfeksiyondan sonra makineye erişmesine olanak tanır. LNK dosyası Ransom Knight bileşenini indirir. Siber araştırmacılar, bunun sıfırdan yeniden programlanan hizmet olarak Cyclops fidye yazılımının güncellenmiş bir sürümü olduğunu açıklıyor. Cyclops programcıları bu yeni çeşidi Mayıs ayında duyurdular.
Talos analistleri, Qakbot’un yazarlarının Cyclops’un arkasında olmadığını, yalnızca kötü amaçlı yazılım hizmetinin müşterileri olduğunu varsayıyor. Siber araştırmacılar, veri sahiplerinin sistemlerinde bir enfeksiyon kanıtı olup olmadığını kontrol edebilecekleri güvenlik ihlali göstergelerini (IOC) derlediler.
Ağustos ayında FBI ve uluslararası savcılar Qakbot botnet’ini kapattı. Yetkililer kötü amaçlı yazılımı 700.000 sistemden kaldırdı.
(Bilmiyorum)
Haberin Sonu
Duyuru
Siber araştırmacılar analizlerinde, suçluların ağustos ayının başında Ransom Knight (Cyclops) fidye yazılımını ve Remcos arka kapısını kimlik avı e-postaları yoluyla dağıttıkları bir kampanya başlattıklarını yazdı. Kampanya, FBI’ın Qakbot botnet’e karşı düzenlediği operasyondan önce başladı; Talos çalışanları, komuta ve kontrol altyapısının devre dışı bırakıldığı ancak spam dağıtım sistemlerinin devre dışı bırakıldığı sonucuna vardı.
Qakbot Gang: Diğer fidye yazılımlarının dağıtımı
Şimdiye kadar siber suçlular, kaldırıldıktan sonra Qakbot kötü amaçlı yazılımını değil, başka fidye yazılımlarını dağıttı. Ancak geliştiriciler tutuklanmadığı ve hâlâ faaliyette oldukları için Cisco-Talos, Qakbot altyapısını yeniden inşa edebileceklerini tahmin ediyor. BT araştırmacıları, LNK dosyalarında yer alan bilgilere dayanarak Qakbot’u görevlendirdi; meta veriler önceki Qakobot kampanyalarınınkilerle eşleşiyordu: kaynak makineler aynıydı ve sürücü seri numaraları aynıydı.
LNK dosyaları, PowerShell’i parametrelerle başlatır ve kötü amaçlı yazılımı oradan başlatmak için örneğin WebDAV aracılığıyla İnternet’teki ağ paylaşımlarına işaret eder. Siber araştırmacılar, saldırganların komut satırı aracılığıyla indirilen dosyaların algılanmasını önlemek için bu durumdan yararlanabileceğinden şüpheleniyor. LNK dosya adlarının acil mali konularla ilgili olması, bunların kimlik avı e-postaları aracılığıyla dağıtıldığını gösteriyor. Önceki Qakbot kampanyalarıyla tutarlıydılar. Bunlar şöyle bir şeydi: ATTENTION-Invoice-29-August.docx.lnk, bank transfer request.lnk, Booking info.pdf.lnk VEYA FRAUD bank transfer report.pdf.lnk ve benzeri.
LNK dosyaları, XLL dosyalarını da içeren ZIP arşivlerinde bulunuyordu. Bunlar Excel simgesiyle görüntülenen Excel eklentileridir. Bu dosyalar, Ransom Knight fidye yazılımıyla birlikte çalışan Remcos arka kapısını içerir. Bu, saldırganların enfeksiyondan sonra makineye erişmesine olanak tanır. LNK dosyası Ransom Knight bileşenini indirir. Siber araştırmacılar, bunun sıfırdan yeniden programlanan hizmet olarak Cyclops fidye yazılımının güncellenmiş bir sürümü olduğunu açıklıyor. Cyclops programcıları bu yeni çeşidi Mayıs ayında duyurdular.
Talos analistleri, Qakbot’un yazarlarının Cyclops’un arkasında olmadığını, yalnızca kötü amaçlı yazılım hizmetinin müşterileri olduğunu varsayıyor. Siber araştırmacılar, veri sahiplerinin sistemlerinde bir enfeksiyon kanıtı olup olmadığını kontrol edebilecekleri güvenlik ihlali göstergelerini (IOC) derlediler.
Ağustos ayında FBI ve uluslararası savcılar Qakbot botnet’ini kapattı. Yetkililer kötü amaçlı yazılımı 700.000 sistemden kaldırdı.
(Bilmiyorum)
Haberin Sonu