Операторы QBot готовятся к сентябрьскому всплеску активности

[Artifact]

Злоумышленники развернули 15 новых серверов управления и контроля.
Операторы вредоносной программы QakBot (также известной как QBot) развернули 15 новых C2-серверов в конце июня 2023 года, как выяснили эксперты компании Team Cymru.
Вредоносная инфраструктура QBot была впервые замечена исследователями ещё в конце 2007 года. С тех пор QBot претерпел множество обновлений и модернизаций, но до сих пор неизменно продолжает представлять угрозу для пользователей и организаций по всему миру.
Всего два месяца назад мы уже сообщали о том, что 25% C2-серверов QBot активны всего один день для обеспечения повышенной скрытности и адаптивности ботнета. QBot также широко известен тем, что каждое лето его операторы делают перерыв в рассылке спама, после чего вредонос возвращается в сентябре с мощной атакой.
В этом году рассылка прекратилась 22 июня. Однако киберпреступники далеко не отдыхают. Они используют это время с пользой, чтобы модернизировать инфраструктуру и инструменты, считают эксперты.
C2-сеть QBot, как и у Emotet и IcedID, имеет многоуровневую архитектуру. Причём C2-серверы 1-го и 2-го уровня расположены на территории разных стран, среди которых Индия, США и даже Россия.
По данным Team Cymru, количество активных C2 серверов 1-го уровня значительно сократилось с момента последнего наблюдения. Во многом это результат блокировки серверов 2-го уровня, проведённой экспертами Black Lotus Labs в мае этого года.
Помимо 15 новых C2-серверов, о чём мы упомянули в начале новости, активны ещё 8 старых серверов. Шесть из них работают с начала июня, а оставшиеся два появились ближе к июлю.
Анализ трафика показывает, что всплеск активности серверов 2-го уровня часто следует за пиком на серверах 1-го уровня. Это говорит о том, что злоумышленники используют заражённые компьютеры в качестве промежуточных серверов для сокрытия своих действий.
По мнению экспертов, отключение серверов верхнего уровня эффективно защищает пользователей, не давая вредоносному ПО получать команды для дальнейших атак.
Интересно будет посмотреть, успеют ли специалисты безопасности предпринять что-то до сентября и хотя бы частично нарушить вредоносную инфраструктуру знаменитого ботнета, или скоро интернет-пользователей ждёт очередная мощная спам-атака, способная передать их компьютеры под контроль хакеров.