www.marcommit.nlwww.lubbersdejong.nlProgressCommunications.eu
ProgressCommunications.euProgressCommunications.euINFLUX PR

x.com/ictberichten
Deel dit nu via
Datum: (348 dagen geleden)
Bedrijf:

Dreiging malware-trojan Qakbot nog lang niet voorbij, blijkt uit onderzoek van Zscaler

De malware-trojan is al vijftien jaar een bedreiging en zal zich blijven ontwikkelen

Belangrijkste bevindingen:
  • Qakbot is in 2008 ontstaan als een banktrojan die is ontworpen om inloggegevens te stelen en ACH-, wire- en creditcardfraude uit te voeren.
  • De afgelopen jaren is Qakbot een initial access broker geworden die Cobalt Strike levert en uiteindelijk resulteert in malware-infecties, zoals ransomware BlackBasta.
  • In de loop der jaren zijn de anti-analysetechnieken van Qakbot verbeterd om malware-sandboxes, antivirussoftware en andere beveiligingsproducten te omzeilen.
  • De malware is modulair en kan plug-ins downloaden om zo nieuwe functionaliteiten toe te voegen.
  • De dreigingsgroep achter Qakbot heeft inmiddels vijf verschillende versies van de malware uitgebracht, waarvan de laatste release in december 2023.
Amsterdam, 8 februari 2024 - Zscaler, leider in cloudbeveiliging, doet al bijna vijftien jaar onderzoek naar Qakbot en waarschuwt opnieuw voor deze innoverende malware-trojan. Qakbot (ook bekend als QBot of Pinkslipbot) is een malware-trojan die wordt gebruikt om een van de oudste en langstlopende cybercrime-ondernemingen te besturen. Qakbot is geëvolueerd van een banktrojan naar een malware-implantaat dat kan worden gebruikt voor laterale beweging en de uiteindelijke implementatie van ransomware. In augustus 2023 werd de Qakbot-infrastructuur door wetshandhavers ontmanteld, maar slechts enkele maanden later, in december 2023, werd de vijfde (en nieuwste) versie van Qakbot uitgebracht. Na vijftien jaar Qakbot is de conclusie duidelijk: de dreigingsgroep achter Qakbot is veerkrachtig, volhardend en innovatief.

De ontwikkelingen van Qakbot
Zscaler volgt Qakbot al bijna vijftien jaar. De eerste voorbeelden van deze malware-trojan dateren uit 2008. Op dat moment maakte Qakbot gebruik van een dropper met twee ingebedde componenten in de bronsectie die bestond uit een kwaadaardige DLL en een tool om de DLL in lopende processen te injecteren. De Qakbot DLL implementeerde een breed scala aan functies, waaronder een SOCKS5-server, het stelen van wachtwoorden, het verzamelen van cookies en het verspreiden via SMB. Qakbot werd tot 2019 grotendeels gebruikt voor bankfraude. Sindsdien is de dreigingsactor zich ook in gaan zetten als initial access broker voor ransomware, waaronder Conti, ProLock, Egregor, REvil, MegaCortex en BlackBasta.



Elke versie van Qakbot vertegenwoordigt een momentopname en is indicatief voor het dreigingslandschap gedurende die periode. Vroege versies bevatten bijvoorbeeld hardgecodeerde command-and-control (C2)-servers. Naarmate de tijd verstreek, werkten wetshandhavings- en malwareonderzoekers met succes samen met domeinregistreerders om kwaadaardige domeinen op te schorten. Als reactie hierop voegde Qakbot onder meer netwerkversleuteling toe en voegde het een domeingeneratie-algoritme (DGA) toe om het single point of Failure van de C2-server te verwijderen. Hoewel een DGA het probleem met het single point of Failure aanpakte, veroorzaakte het ook aanzienlijke ruis bij het opvragen van een groot aantal domeinen. Om dit te verhelpen bedachten Qakbot-ontwikkelaars een geheel nieuwe architectuur met meerdere niveaus, waarbij gecompromitteerde systemen fungeerden als proxy servers die netwerkverkeer met andere geïnfecteerde systemen en de backend C2-infrastructuur doorgaven. Deze ontwerp-update loste het single point of Failure-probleem op, verminderde het netwerkverkeer en verborg de daaropvolgende C2-lagen effectief.

Conclusie
Qakbot is een geavanceerde trojan die de afgelopen vijftien jaar aanzienlijk is geëvolueerd en opmerkelijk volhardend en veerkrachtig blijft. Ondanks de aanzienlijke verstoring van Qakbot in augustus 2023 blijft het actief en heeft het onlangs zijn codebase bijgewerkt om 64-bits versies van Windows te ondersteunen, de versleutelingsalgoritmen verbeterd en meer verduistering toegevoegd. Dit toont aan dat Qakbot in de toekomst een bedreiging zal blijven. ThreatLabz blijft de ontwikkelingen van Qakbot op de voet volgen.

Bezoek de website voor een volledige technische analyse van Qakbot.
Geplaatst:
Verstreken tijd: 348 dagen
Zscaler contact  

Logo Zscaler

Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo ClockAssist
Logo Human Journey
Logo The Factory
Logo Hively Nederland B.V.
Logo Reflex Online BV
Logo Awareways
Logo Decos
Logo theMatchBox
Logo Companial
Logo Heliview Conferences & Training
Logo CI Company
Logo 5S-company
Logo Companial
Logo Equote B.V.
Logo Simjo
Logo Techone B.V.
Logo Frontline Solutions
Logo Frontline Solutions
Logo Guardian360 bv
Logo Techone B.V.
Logo BarTrack
Logo Facilitor
Logo Twenty Four Webvertising
Logo SCOS Automaton BV
Logo SCOS Automaton BV
Logo We talk SEO B.V.
Logo Vlirdens
Logo Networking4ALL
Logo BusinessCom
Logo Botz4U
Logo Robbers & van den Hoogen
Logo NOBEARS
Logo Branddoctors
Logo Techone B.V.
Logo Taalklasse
Logo Xebia
Logo Flanderijn
Logo Geotab
Logo Pro Contact
Logo Atomeus
Logo Nextbase
Logo Kaspersky
Logo Top Employers Institute
Logo Onguard
Logo IG&H
TARIEVEN
> Publicatie eenmalig €49

BUNDELS
> 6 publicaties €199
> 12 publicaties €349
> Onbeperkt €499

EENMALIG PLAATSEN
> Persbericht aanleveren

VAKER PLAATSEN
> Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN OP X
> @ICTBERICHTEN

ZOEK
> IT bedrijf
> IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE STATS
> 100598 persberichten
> 6753 bedrijfsprofielen
> 51 PR-bureauprofielen
> 15266 tags

KENMERKEN
> Behouden tekstopmaak
> Foto/illustratie/logo
> Downloadbare bijlages
> Profiel met socials
 
www.marcommit.nlwww.lubbersdejong.nlProgressCommunications.eu
ProgressCommunications.euProgressCommunications.euINFLUX PR