در اواخر اکتبر 2021 حملاتی مشاهده شد که با استفاده از فیشینگ ایمیل که از عملکرد ارسال ایمیل Craigslist سوءاستفاده می کند، بدافزار Qakbot وارد سیستم قربانی می کند. Qakbot مانند بدافزارهای اصلی دیگر، ماژولار است. قربانی پس از دریافت ایمیل و باز کردن فایل اکسل ضمیمه شده، سیستم را در معرض این بدافزار قرار می دهد.
روش کار
کمپین های ایمیلی که Qakbot را ارائه می دهند معمولاً حاوی پیوست های مخرب یا لینک های قابل کلیک هستند. پیامهای استفاده شده در این کمپینها شامل فریبهای یک یا دو جملهای هستند، مانند جملات: «لطفاً پیوست را ببینید» یا «برای مشاهده فایل اینجا را کلیک کنید» و به گونهای طراحی شدهاند که به عنوان پاسخ به یک رشته ایمیل موجود نشان داده شوند. اما حملات اخیر Craigslist از هیچ یک از روش های بالا استفاده نمی کند.
مهاجمان برای دور زدن مکانیزم های امنیتی مرسوم که معمولا به پیوست ها و لینک های مخرب حساس هستند و به سرعت آن را تشخیص و مسدود می سازند، ایمیلی ارسال می کنند که فقط حاوی یک اسکرین شات از یک متن می باشد که برای جعل هویت از یک اعلان خودکار Craigslist استفاده می کند. به دلیل نقص احتمالی در Policy های Craigslist، اعلان جعلی ارسالی به قربانی دستور می دهد تا برای دسترسی به اطلاعات دقیق تر، URL ذکر شده را در مرورگر خود وارد کند. سیستم Relay ایمیل Craigslist داده های تماس بین فروشنده و خریدار را ناشناس می کند تا از تماس های مستقیم با تبلیغ کننده از طریق ایمیل خریدار جلوگیری کند. همچنین در موردی دیگر مهاجمان با استفاده از پست های تبلیغاتی Craigslist، آدرس های ایمیل را جمع آوری می کنند و سپس پیام های دستکاری شده و مخرب خود را مستقیما برای قربانی ارسال می کنند. کاربر بعد از باز کردن URL ذکر شده، فایل اکسلی را دانلود می کند. بعد از باز کردن فایل اکسل، پیامی به نمایش در می آید با این مضمون که فایل توسط Docusign محافظت شده است و جهت دسترسی به فایل باید ماکرو ها رو فعال کنید. پس از فعال سازی ماکرو ها، دستگاه با Qakbot آلوده می شود و مهاجم به هدف خود می رسد.
راه هایی برای کاهش این خطر پذیری
- قطع دسترسی فعال سازی ماکرو کاربران
- توصیه به کاربران برای باز نکردن ایمیل های مشکوک و عدم وارد کردن دستی URL های درخواست شده در ایمیل
- جلوگیری ار دانلود و اجرای فایل مخرب اکسل
روش های تشخیص این حمله
با استفاده از آنتی ویروس، اجزای تهدید به عنوان بدافزار شناخته می شوند.
استفاده از آنتی ویروس هایی که قابلیت های آنتی ویروس نسل بعدی از جمله یادگیری ماشینی و تشخیص رفتار را در خود جای داده اند.
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- شناسایی بدافزار Qakbot
- زیرساخت شبکه Qakbot
- URL دانلود Qakbot
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Initial Access | Execution | Persistence | Defense Evasion |
| Drive-by Compromise | Command and Scripting Interpreter | Account Manipulation | Abuse Elevation Control Mechanism |
| Exploit Public-Facing Application | Container Administration Command | BITS Jobs | Access Token Manipulation |
| External Remote Services | Deploy Container | Boot or Logon Autostart Execution | BITS Jobs |
| Hardware Additions | Exploitation for Client Execution | Boot or Logon Initialization Scripts | Build Image on Host |
| Phishing | Inter-Process Communication | Browser Extensions | Deobfuscate/Decode Files or Information |
| Replication Through Removable Media | Native API | Compromise Client Software Binary | Deploy Container |
| Supply Chain Compromise | Scheduled Task/Job | Create Account | Direct Volume Access |
| Trusted Relationship | Shared Modules | Create or Modify System Process | Domain Policy Modification |
| Valid Accounts | Software Deployment Tools | Event Triggered Execution | Execution Guardrails |
| System Services | External Remote Services | Exploitation for Defense Evasion | |
| User Execution | Hijack Execution Flow | File and Directory Permissions Modification | |
| Windows Management Instrumentation | Implant Internal Image | Hide Artifacts | |
| Modify Authentication Process | Hijack Execution Flow | ||
| Office Application Startup | Impair Defenses | ||
| Pre-OS Boot | Indicator Removal on Host | ||
| Scheduled Task/Job | Indirect Command Execution | ||
| Server Software Component | Masquerading | ||
| Traffic Signaling | Modify Authentication Process | ||
| Valid Accounts | Modify Cloud Compute Infrastructure |