Belangrijkste bevindingen:
- Qakbot is in 2008 ontstaan als een banktrojan die is ontworpen om inloggegevens te stelen en ACH-, wire- en creditcardfraude uit te voeren.
- De afgelopen jaren is Qakbot een initial access broker geworden die Cobalt Strike levert en uiteindelijk resulteert in malware-infecties, zoals ransomware BlackBasta.
- In de loop der jaren zijn de anti-analysetechnieken van Qakbot verbeterd om malware-sandboxes, antivirussoftware en andere beveiligingsproducten te omzeilen.
- De malware is modulair en kan plug-ins downloaden om zo nieuwe functionaliteiten toe te voegen.
- De dreigingsgroep achter Qakbot heeft inmiddels vijf verschillende versies van de malware uitgebracht, waarvan de laatste release in december 2023.
Amsterdam, 8 februari 2024 - Zscaler, leider in cloudbeveiliging, doet al bijna vijftien jaar onderzoek naar Qakbot en waarschuwt opnieuw voor deze innoverende malware-trojan. Qakbot (ook bekend als QBot of Pinkslipbot) is een malware-trojan die wordt gebruikt om een van de oudste en langstlopende cybercrime-ondernemingen te besturen. Qakbot is geëvolueerd van een banktrojan naar een malware-implantaat dat kan worden gebruikt voor laterale beweging en de uiteindelijke implementatie van ransomware. In augustus 2023 werd de Qakbot-infrastructuur door wetshandhavers ontmanteld, maar slechts enkele maanden later, in december 2023, werd de vijfde (en nieuwste) versie van Qakbot uitgebracht. Na vijftien jaar Qakbot is de conclusie duidelijk: de dreigingsgroep achter Qakbot is veerkrachtig, volhardend en innovatief.
De ontwikkelingen van Qakbot
Zscaler volgt Qakbot al bijna vijftien jaar. De eerste voorbeelden van deze malware-trojan dateren uit 2008. Op dat moment maakte Qakbot gebruik van een dropper met twee ingebedde componenten in de bronsectie die bestond uit een kwaadaardige DLL en een tool om de DLL in lopende processen te injecteren. De Qakbot DLL implementeerde een breed scala aan functies, waaronder een SOCKS5-server, het stelen van wachtwoorden, het verzamelen van cookies en het verspreiden via SMB. Qakbot werd tot 2019 grotendeels gebruikt voor bankfraude. Sindsdien is de dreigingsactor zich ook in gaan zetten als initial access broker voor ransomware, waaronder Conti, ProLock, Egregor, REvil, MegaCortex en BlackBasta.
Elke versie van Qakbot vertegenwoordigt een momentopname en is indicatief voor het dreigingslandschap gedurende die periode. Vroege versies bevatten bijvoorbeeld hardgecodeerde command-and-control (C2)-servers. Naarmate de tijd verstreek, werkten wetshandhavings- en malwareonderzoekers met succes samen met domeinregistreerders om kwaadaardige domeinen op te schorten. Als reactie hierop voegde Qakbot onder meer netwerkversleuteling toe en voegde het een domeingeneratie-algoritme (DGA) toe om het single point of Failure van de C2-server te verwijderen. Hoewel een DGA het probleem met het single point of Failure aanpakte, veroorzaakte het ook aanzienlijke ruis bij het opvragen van een groot aantal domeinen. Om dit te verhelpen bedachten Qakbot-ontwikkelaars een geheel nieuwe architectuur met meerdere niveaus, waarbij gecompromitteerde systemen fungeerden als proxy servers die netwerkverkeer met andere geïnfecteerde systemen en de backend C2-infrastructuur doorgaven. Deze ontwerp-update loste het single point of Failure-probleem op, verminderde het netwerkverkeer en verborg de daaropvolgende C2-lagen effectief.
Conclusie
Qakbot is een geavanceerde trojan die de afgelopen vijftien jaar aanzienlijk is geëvolueerd en opmerkelijk volhardend en veerkrachtig blijft. Ondanks de aanzienlijke verstoring van Qakbot in augustus 2023 blijft het actief en heeft het onlangs zijn codebase bijgewerkt om 64-bits versies van Windows te ondersteunen, de versleutelingsalgoritmen verbeterd en meer verduistering toegevoegd. Dit toont aan dat Qakbot in de toekomst een bedreiging zal blijven. ThreatLabz blijft de ontwikkelingen van Qakbot op de voet volgen.
Bezoek de website voor een volledige technische analyse van Qakbot.