Une analyse du malware « évasif et tenace » connu sous le nom de QBot a révélé que 25% de ses serveurs de commande et de contrôle (C2) ne sont actifs que pendant une seule journée.
De plus, 50% des serveurs ne restent pas actifs plus d’une semaine, indiquant l’utilisation d’une infrastructure C2 adaptable et dynamique, a déclaré Lumen Black Lotus Labs dans un rapport partagé avec The Hacker News.
« Ce botnet a adapté des techniques pour dissimuler son infrastructure dans un espace IP résidentiel et des serveurs Web infectés, au lieu de se cacher dans un réseau de serveurs privés virtuels (VPS) hébergés », ont déclaré les chercheurs en sécurité Chris Formosa et Steve Rudd.
QBot, également appelé QakBot et Pinkslipbot, est une menace persistante et puissante qui a commencé comme un cheval de Troie bancaire avant de devenir un téléchargeur pour d’autres charges utiles, y compris les ransomwares. Ses origines remontent à 2007.
Le logiciel malveillant arrive sur les appareils des victimes via des e-mails de harponnage, qui intègrent directement des fichiers de leurre ou contiennent des URL intégrées menant à des documents leurres.
Les acteurs de la menace derrière QBot ont continuellement amélioré leurs tactiques au fil des ans pour infiltrer les systèmes des victimes en utilisant différentes méthodes telles que le piratage de fils de messagerie, la contrebande HTML et l’utilisation de types de pièces jointes peu courants pour franchir les barrières de sécurité.
Un autre aspect notable de l’opération est le modus operandi lui-même : les campagnes de malspam de QBot se déroulent sous la forme de rafales d’activité intense suivies de périodes de peu ou pas d’attaques, pour refaire surface avec une chaîne d’infection remaniée.
Alors que les vagues de phishing portant QBot au début de 2023 ont exploité Microsoft OneNote comme vecteur d’intrusion, des attaques récentes ont utilisé des fichiers PDF protégés pour installer le malware sur les machines des victimes.
La dépendance de QakBot vis-à-vis des serveurs Web et des hôtes compromis existant dans l’espace IP résidentiel pour C2 se traduit par une courte durée de vie et un niveau élevé de rotation, conduisant à un scénario où 70 à 90 nouveaux serveurs émergent sur une période de sept jours en moyenne.
« Qakbot conserve sa résilience en transformant les machines victimes en C2 », ont déclaré les chercheurs, ajoutant qu’il reconstitue « l’offre de C2 via des bots qui se transforment ensuite en C2 ».
Selon les données publiées par Team Cymru le mois dernier, la majorité des serveurs Qakbot bot C2 sont soupçonnés d’être des hôtes compromis qui ont été achetés auprès d’un courtier tiers, la plupart d’entre eux étant situés en Inde en mars 2023.
L’examen de l’infrastructure d’attaque par Black Lotus Labs a en outre révélé la présence d’un serveur de backconnect qui transforme un « nombre significatif » de bots infectés en un proxy qui peut ensuite être annoncé à d’autres fins malveillantes.
« Qakbot a persévéré en adoptant une approche rapide sur le terrain pour construire et développer son architecture », ont conclu les chercheurs.
« Bien qu’il ne repose pas sur des chiffres absolus comme Emotet, il démontre un savoir-faire technique en variant les méthodes d’accès initiales et en maintenant une architecture C2 résidentielle résiliente mais évasive. »
