Les opérateurs associés au malware QakBot (alias QBot) ont mis en place 15 nouveaux serveurs de commande et de contrôle (C2) fin juin 2023.
Les résultats s’inscrivent dans la continuité de l’analyse de l’infrastructure du logiciel malveillant par l’équipe Cymru et arrivent un peu plus de deux mois après que Lumen Black Lotus Labs a révélé que 25 % de ses serveurs C2 ne sont actifs que pendant une seule journée.
« QakBot a l’habitude de faire une pause prolongée chaque été avant de revenir en septembre, les activités de spam de cette année cessant vers le 22 juin 2023 », a déclaré la société de cybersécurité.
« Mais les opérateurs de QakBot sont-ils réellement en vacances lorsqu’ils ne spamment pas, ou cette « pause » est-elle pour eux le moment d’affiner et de mettre à jour leur infrastructure et leurs outils ? »
Le réseau C2 de QakBot, comme dans le cas d’Emotet et d’IcedID, se caractérise par une architecture à plusieurs niveaux dans laquelle les nœuds C2 communiquent avec des nœuds C2 de niveau 2 (T2) en amont hébergés sur des fournisseurs VPS géolocalisés en Russie.
La majorité des serveurs bot C2, qui communiquent avec les hôtes victimes, sont situés en Inde et les adresses IP de destination américaines identifiées à partir des connexions T2 sortantes sont principalement basées aux États-Unis, en Inde, au Mexique et au Venezuela.
Outre les C2 et les C2 de niveau 2, un serveur BackConnect (BC) transforme les bots infectés en proxy à d’autres fins malveillantes.
Les dernières recherches de l’équipe Cymru révèlent que le nombre de C2 existants communiquant avec la couche T2 a considérablement diminué, avec seulement huit restants, en partie en raison du routage nul de Black Lotus Labs de l’infrastructure de niveau supérieur en mai 2023.
« Nous observons que le 2 juin, les C2 américains ont pratiquement disparu et que le trafic des C2 indiens a considérablement diminué », a déclaré la société, attribuant le manque d’activité américaine au routage nul de la couche T2.
En dehors des 15 serveurs C2, six serveurs C2 actifs depuis avant juin et deux serveurs C2 activés en juin ont continué à afficher une activité en juillet après la fin du spam.
Une analyse plus approfondie des données NetFlow montre un modèle dans lequel « des cas d’augmentation des connexions T2 sortantes se produisent souvent à la suite de pics d’activité pour les connexions entrantes du bot C2 » et « les pics de connexions sortantes T2 correspondent fréquemment à une baisse de l’activité du bot C2 ».
« En élevant les victimes pour qu’elles soient utilisées comme infrastructure C2 avec communication T2, QakBot punit efficacement les utilisateurs deux fois, d’abord dans le compromis initial, et ensuite dans le risque potentiel pour la réputation d’un hôte identifié publiquement comme malveillant », a déclaré l’équipe Cymru.
En coupant les communications avec les serveurs en amont, a souligné la société, les victimes sont empêchées de recevoir des instructions C2, protégeant ainsi efficacement les utilisateurs actuels et futurs contre la compromission.
