Qbot Botnet IOC

Botnet Security

Ботнет Qbot теперь рассылает полезную нагрузку с помощью фишинговых писем с защищенными паролем вложениями ZIP-архивов, содержащих вредоносные пакеты MSI Windows Installer.

Операторы Qbot впервые используют эту тактику, отказавшись от стандартного способа доставки вредоносного ПО через фишинговые письма, сбрасывающие на устройства жертв документы Microsoft Office с вредоносными макросами.

Исследователи безопасности подозревают, что этот шаг может быть прямой реакцией на то, что компания Microsoft объявила о планах по борьбе с доставкой вредоносного ПО через макросы VBA Office в феврале после отключения макросов Excel 4.0 (XLM) по умолчанию в январе.

Microsoft начала распространять функцию автоблокировки макросов VBA среди пользователей Office для Windows в начале апреля 2022 года, начиная с версии 2203 в текущем канале (Preview) и позже в других каналах выпуска и более старых версиях.

"Несмотря на различные способы рассылки Qakbot, которые используют злоумышленники, эти кампании объединяет использование вредоносных макросов в документах Office, в частности макросов Excel 4.0", - заявили в Microsoft в декабре.

"Следует отметить, что, хотя угрозы используют макросы Excel 4.0 в попытке избежать обнаружения, эта функция теперь отключена по умолчанию, и поэтому пользователям приходится включать ее вручную, чтобы такие угрозы выполнялись должным образом".

Это значительное улучшение безопасности для защиты пользователей Office, поскольку использование вредоносных макросов VBA, встроенных в документы Office, является распространенным методом для распространения большого количества штаммов вредоносных программ в фишинговых атаках, включая Qbot, Emotet, TrickBot и Dridex.

Что такое Qbot?

Qbot (также известный как Qakbot, Quakbot и Pinkslipbot) - это модульный банковский троян для Windows с функциями червя, используемый как минимум с 2007 года для кражи банковских реквизитов, личной информации и финансовых данных, а также для установки бэкдоров на взломанных компьютерах и развертывания маяков Cobalt Strike.

Эта вредоносная программа также известна тем, что заражает другие устройства во взломанной сети, используя уязвимости сетевого ресурса и агрессивные атаки методом перебора, направленные на учетные записи администраторов Active Directory.

Хотя вредоносная программа Qbot активна уже более десяти лет, она в основном используется в целенаправленных атаках на корпоративные предприятия, поскольку обеспечивает более высокую рентабельность инвестиций.

Множество банд вымогателей, включая REvil, Egregor, ProLock, PwndLocker и MegaCortex, также использовали Qbot для проникновения в корпоративные сети.

Поскольку заражение Qbot может привести к опасным инфекциям и разрушительным атакам, ИТ-администраторам и специалистам по безопасности необходимо ознакомиться с этой вредоносной программой, тактикой ее распространения по сети и тактикой, используемой операторами ботнетов для доставки ее к новым целям.

Indicators of Compromise

MD5

SHA1

SHA256

Добавить комментарий