رغم الاستيلاء على بنيتها التحتية وتفكيكها لدغة إنفاذ القانون متعددة الجنسيات في صيف عام 2023، يبدو أن برنامج Qakbot الضار الذي استخدمه بعض أخطر أطقم برامج الفدية في العالم كحصان طروادة للوصول عن بعد (RAT) قيد التطوير النشط مرة أخرى، وفقًا لمعلومات استخباراتية جديدة من باحثي سوفوس.
كان Qakbot، الذي ظهر في أواخر العقد الأول من القرن الحادي والعشرين، أحد الأدوات الأكثر رسوخًا وشعبية المتاحة لمجرمي الإنترنت السريين، وتم استخدامه بعدة طرق مختلفة خلال فترة وجوده، بما في ذلك باعتباره حصان طروادة المصرفي وسرقة بيانات الاعتماد.
سقوطها العام الماضي في عملية صيد البط شهد وصول مكتب التحقيقات الفيدرالي الأمريكي إلى بنيته التحتية وتخريبه لتوزيع ملف لإلغاء تثبيت البرامج الضارة. كما استولى العملاء الفيدراليون أيضًا على أصول مشفرة غير مشروعة بقيمة ملايين الدولارات.
ومع ذلك، على الرغم من الترحيب بعملية صيد البط باعتبارها نصرًا عظيمًا، وخفف خبراء الأمن السيبراني من الاحتفالاتمشيرة إلى أن الجهات التي تقف وراء هذا التهديد لا تزال طلقاء.
يكتب في مجلة Computer Weekly، ريكادو فيلادييغو، المؤسس والرئيس التنفيذي لشركة تقنيات لوموقال: “شبكات الروبوت مثل Qbot وEmotet أثبتت قدرتها على الصمود قبل اتباع عمليات إزالة مماثلة، ولكن أصغر، ويبقى أن نرى ما إذا كانت هذه هي الضربة القاضية لقاقبوت.
الآن، يقول فريق البحث Sophos X-Ops إنه يقوم بتحليل عينات من متغير جديد من البرنامج الضار Qakbot الذي ظهر في ديسمبر 2023.
وقالت Sophos X-Ops: “كانت إزالة البنية التحتية لشبكة Qakbot للروبوتات بمثابة انتصار، لكن منشئي الروبوت يظلون أحرارًا، وكان الشخص الذي لديه حق الوصول إلى كود المصدر الأصلي لـ Qakbot يقوم بتجربة تصميمات جديدة واختبار المياه باستخدام هذه المتغيرات الأحدث”. الباحث الرئيسي أندرو براندت.
ومن بين أمور أخرى، قال فريق البحث إن مشغلي Qakbot يبذلون “جهودًا متضافرة” لتشديد تشفير البرامج الضارة، مما يجعل من الصعب على المدافعين والباحثين تحليل كود مصدرها.
وقد وجدوا أيضًا دليلاً على أن المطورين يقومون الآن بتشفير جميع الاتصالات بين البرامج الضارة وخادم القيادة والتحكم (C2)، باستخدام طريقة أقوى بكثير من ذي قبل، وأعادوا تقديم ميزة تمنع Qakbot من العمل في بيئة افتراضية أو وضع الحماية. – أسلوب آخر لتحدي التحليل.
“من المرجح أن يستمر تطور Qakbot، حتى يواجه منشئوه محاكمة جنائية. والخبر السار هو أنه في الوقت الحالي، من السهل اكتشاف متغيرات Qakbot الجديدة وحظرها باستخدام التوقيعات التي تم إنشاؤها مسبقًا في برنامج الكشف عن نقطة النهاية، “قال براندت لـ Computer Weekly في تعليقات عبر البريد الإلكتروني.
وقال براندت إنه على الرغم من انتشار عينات قليلة فقط من شبكة Qakbot الجديدة حتى الآن، إلا أن شبكة الروبوتات كانت كبيرة جدًا في وقت ما، وكانت مستخدمة على نطاق واسع، لدرجة أن أي نشاط يشير إلى أن شخصًا ما قد يحاول إحيائه يستدعي مراقبة دقيقة.
نشر فريق Sophos X-Ops تفاصيل عملهم على Qakbot الجديد، بما في ذلك التعمق في قدرات التشفير التي تمت ترقيتها، عبر مستودون.
