Qbot нужно всего 30 минут, чтобы украсть ваши учетные данные, электронные письма

Qbot нужно всего 30 минут, чтобы украсть ваши учетные данные, электронные письма

Широко распространенное вредоносное ПО, известное как Qbot (также известное как Qakbot или QuakBot), недавно вернулось к атакам со скоростью света, и, по словам аналитиков, для кражи конфиденциальных данных после первоначального заражения требуется всего около 30 минут.

Согласно новому отчету DFIR, Qbot наносил эти быстрые удары по сбору данных еще в октябре 2021 года, и теперь кажется, что стоящие за ним злоумышленники вернулись к аналогичной тактике.

В частности, аналитики сообщают, что злоумышленникам требуется полчаса, чтобы украсть данные браузера и электронные письма из Outlook, и 50 минут, прежде чем они перейдут на соседнюю рабочую станцию.

Хронология атаки

Как показано на следующей диаграмме, Qbot быстро выполняет повышение привилегий сразу после заражения, в то время как полноценное разведывательное сканирование выполняется в течение десяти минут.

Первоначальный доступ обычно осуществляется через документ Excel (XLS), в котором используется макрос для сброса загрузчика DLL на целевой компьютер. 

Затем эта полезная нагрузка выполняется для создания запланированной задачи через процесс msra.exe и повышает себя до системных привилегий.

Кроме того, вредоносная программа добавляет DLL Qbot в список исключений Microsoft Defender, поэтому она не будет обнаружена при внедрении в msra.exe.

Вредоносная программа крадет электронные письма через полчаса после первоначального запуска, которые затем используются для фишинговых атак с повторной цепочкой и для продажи другим злоумышленникам.

Qbot крадет учетные данные Windows из памяти с помощью инъекций LSASS (Local Security Authority Server Service) и из веб-браузеров. Они используются для бокового перемещения к другим устройствам в сети, которое инициируется в среднем через пятьдесят минут после первого выполнения.

Сеть на цыпочках

Qbot перемещается ко всем рабочим станциям в сканируемой среде, копируя DLL на следующую цель и удаленно создавая службу для ее выполнения. 

В то же время предыдущая инфекция очищается, поэтому машина, учетные данные которой только что были удалены, вылечена и выглядит нормально.

Кроме того, сервисы, созданные на новых рабочих станциях, имеют параметр DeleteFlag, что приводит к их удалению при перезагрузке системы.

Боковое перемещение происходит быстро, поэтому при отсутствии сегментации сети для защиты рабочих станций ситуация становится очень сложной для групп защиты.

Кроме того, злоумышленники Qbot часто используют некоторые из скомпрометированных систем в качестве прокси-точек первого уровня для удобной маскировки и ротации адресов, а также используют несколько портов для связи SSL с сервером C2.

Последствия этих быстрых атак не ограничиваются потерей данных, так как было также замечено, что Qbot сбрасывает полезную нагрузку программ-вымогателей в скомпрометированные корпоративные сети.

В отчете Microsoft от декабря 2021 года отражена универсальность атак Qbot , что затрудняет точную оценку масштабов его заражений.

Однако независимо от того, как именно происходит заражение Qbot, важно помнить, что почти все начинаются с электронной почты, поэтому это основная точка доступа, которую организациям необходимо укрепить.

Сегодняшнее объявление Microsoft о том, что они будут блокировать макросы в загруженных документах по умолчанию , удалив кнопки «Включить содержимое» и «Включить редактирование», будет иметь большое значение для защиты пользователей от фишинговых атак Qbot.

Последнее обновление 08.02.2022