Троян Qakbot встревает в переписку жертв, чтобы увеличить свою популяцию

Троян Qakbot встревает в переписку жертв, чтобы увеличить свою популяцию

Троян Qakbot встревает в переписку жертв, чтобы увеличить свою популяцию

Исследователи из Sophos изучили повадки Qakbot — модульного Windows-зловреда, который, несмотря на почтенный возраст, сохранил свою актуальность как угроза. Троян даже стал еще более агрессивным в отсутствие основных конкурентов — сошедшего со сцены Trickbot и потерявшего былую мощь Emotet.

Дебютировавший как банкер вредонос за десять с лишним лет научился воровать и другую информацию, а также регистрировать клавиатурный ввод, открывать бэкдор, избегать обнаружения и, следуя примеру Trickbot и Emotet, загружать другие вредоносные программы, в том числе шифровальщиков.

Разбор недавних атак Qakbot, он же QBot, QuackBot и Pinkslipbot, показал, что он по-прежнему распространяется через спам, доставляет различную полезную нагрузку и сканирует сети жертв в поисках слабых мест. Вредонос также сохранил способность к самораспространению через перехват переписки своих жертв в Outlook и рассылку поддельных реплик на найденные входящие сообщения.

Как оказалось, такие зловредные письма используют форму reply-all («ответить всем»); в них даже цитируется легитимное сообщение, на которое троян отозвался от имени жертвы. Фальшивое послание лаконично: оно состоит из одной фразы и ссылки (URL или хотлинк), указывающей на веб-ресурс с архивным файлом, содержащим вредоносный документ в редком формате .xlsb (Excel Binary Workbook).

Примечательно, URL в письмах Qakbot обычно включают несколько слов на латыни, как в этом примере Sophos (nulla quia — «никаких ибо», eum — «ему»):

 

Как и следовало ожидать, при открытии xlsb-файла пользователя попросят включить режим редактирования и активировать макрос, запускающий цепочку заражения. Опасная функциональность Microsoft Office по умолчанию отключена, а скоро, видимо, и вовсе исчезнет из пользовательского интерфейса.

При установке Qakbot создает на диске C: папку с произвольным 5-значным именем для своих файлов, а затем начинает собирать подробную информацию о зараженной машине. Каждые пять минут работающий в памяти троян (DLL загружаются в память процесса Exporer.exe или Msedge.exe с помощью regsvr32) пытается связаться со своим сервером.

В ответ на присланные данные зловреду отдают дополнительные модули, которые тоже загружаются в память по методу process hollowing (создание нового экземпляра запущенного процесса в состоянии ожидания и замена легитимного кода в памяти вредоносным). Экспертам удалось выявить три таких компонента:

  • инжектор, внедряющий код для кражи паролей в веб-страницы Facebook, Microsoft, Google и систем онлайн-банкинга;
  • сканер сети, использующий протокол ARP;
  • модуль-спамер, который пытается подключиться к SMTP-серверу (заданный список содержит десяток позиций) и начать рассылку вредоносных писем.

Зловредные коды и C2-коммуникации тщательно маскируются с использованием обфускации и шифрования. Аналитикам пришлось изрядно повозиться, чтобы добраться до ключевых строк кода Qakbot, параметров конфигурации и вшитых адресов центра управления.

Зловред также умеет скрывать обращения к API Windows с помощью хеш-таблиц — похожий механизм использует Dridex. Кешируя данные в системном реестре, троян шифрует их ключом, сгенерированным в ходе заражения. При выполнении многих функций он использует команды WMI, которые тоже шифруются (по методу XOR).

Обмен с C2-сервером осуществляется по HTTPS (с TLS-щифрованием); каждое послание кодируется по base64 уникальным ключом. Сохраняемую локально информацию вредонос тоже шифрует, генерируя для этого отдельный ключ.

Не исключено, что авторы Qakbot-атак подрабатывают, продавая доступ к взломанным сетям. Экспертам попадались сэмплы, пытавшиеся загрузить на хост маячок Cobalt Strike, который можно потом использовать для дальнейшего проникновения в сеть.

Solar SIEM получил правила Solar JSOC, TI Feeds и расширенного ИИ-агента

ГК «Солар» выпустила Solar SIEM 2026.2. Главное изменение — в продукт добавили полную библиотеку правил детектирования Solar JSOC, сформированную за 14 лет мониторинга и расследования инцидентов в инфраструктурах примерно 300 заказчиков.

Идея проста: компаниям больше не нужно месяцами собирать собственную базу правил под конкретную инфраструктуру. Готовые сценарии должны помочь обнаруживать сложные атаки уже на первых этапах внедрения системы.

По данным Solar JSOC, в 2025 году центр зафиксировал 1,16 млн событий информационной безопасности после фильтрации ложных срабатываний. Заказчики подтвердили более 33 тыс. инцидентов. Чаще всего встречались вредоносное ПО — 36% случаев — и попытки несанкционированного доступа — 23%.

В обновлении также появилась поддержка TI Feeds. Solar SIEM может загружать индикаторы компрометации из базы Solar 4RAYS и сторонних источников клиента, а затем автоматически сопоставлять их с событиями в инфраструктуре.

Расширили и возможности ИИ-агента. Раньше он анализировал только информацию из карточки инцидента, теперь может самостоятельно обращаться к исходным данным, изучать их и предлагать дальнейшие действия. Это должно ускорить первичный разбор и снять часть рутины с аналитиков.

Ещё одно нововведение — мультитенантность. Несколько организаций можно подключить к одной инсталляции SIEM, разделив их потоки событий. Такой вариант рассчитан прежде всего на холдинги, MSSP-провайдеров и структуры с большим количеством подразделений.

В пилотировании новой версии приняли участие более 40 компаний разного масштаба. По сути, Solar SIEM пытается сместить акцент с бесконечной ручной настройки на готовую базу знаний, которую можно использовать без собственного огромного SOC и армии аналитиков.

RSS: Новости на портале Anti-Malware.ru