انتشار بدافزار Qbot با بهرهجویی از Follina
Qbot که با نامهای Qakbot یا Pinksliplot نیز شناخته میشود، به طور فعال توسعه یافته و قادر به شناسایی اولیه (Reconnaissance)، گسترش دامنه نفوذ به سیستمهای مجاور در شبکه (Lateral movement)، استخراج دادهها (Data exfiltration) و انتشار کدهای مخرب است و به عنوان یک واسط جهت نفوذ اولیه عمل میکند.
مرکز CERT ایالات متحده در گزارشی، Qbot را به عنوان یکی از فعالترین بدافزارهای سال ۲۰۲۱ معرفی کرده است.
در یکی از این حملات اخیر که این سایت به بررسی آن پرداخته است، بلافاصله پس از اجرای کد مخرب Qbot، بدافزار، به سرور C2 متصل شده و فرایند شناسایی را از روی دستگاه آلوده آغاز میکند. در جریان حمله، مهاجمان بر روی چندین سیستم متمرکز شده و ابزارهای مدیریت از راه دور مانند NetSupport و Atera Agent را نصب نمودند و از Cobalt Strike جهت ماندگار کردن دسترسی به شبکه استفاده کردند. این نفوذ ۲ روز به طول انجامید و مهاجمان اسناد حساس موجود بر روی یکی از سرورهای فایل سازمان قربانی را سرقت نموده و پس از آن از شبکه خارج شدند.
نظر شما :