BKA zerschlägt Qakbot: Expertenkommentare - BKA smashes Qakbot: expert comments

Das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt am Main haben die Server-Infrastruktur der Schadsoftware Qakbot übernommen und zerschlagen.	The German Federal Criminal Police Office (BKA) and the General Prosecutor’s Office in Frankfurt am Main have taken over and smashed the server infrastructure of the Qakbot malware.
Qakbot gilt als eine der gefährlichsten Schadsoftware in Deutschland und weltweit. Zur Verbreitung und Steuerung nutzten die Täter eine sogenannte Command-and-Control-Infrastruktur, über die sie ein Botnetz steuerten, das allein im vergangenen Jahr über 700.000 Systeme umfasste. Nach der Erstinfektion durch schädliche E-Mail-Anhänge oder Hyperlinks verbreitet sich die Schadsoftware auf dem Opfersystem und übermittelt Daten an die Täter. Der infizierte Computer wird so Teil des Botnetzes, einem Netzwerk von kompromittierten Computern. Anschließend lädt Qakbot weitere Schadsoftware nach, um die Daten auf dem Computersystem zu verschlüsseln. Dies geschieht mit dem Ziel, das Opfer zu erpressen. Große Ransomware-Gruppen haben Qakbot in der Vergangenheit als Einfallstor für ihre Angriffe genutzt, die bei Unternehmen, im Gesundheitswesen und bei Behörden weltweit Schäden in Höhe von mehreren hundert Millionen Euro verursacht haben. Die technische Infrastruktur der Schadsoftware wurde durch die internationalen Maßnahmen übernommen und den Tätern der Zugriff auf die Systeme dauerhaft entzogen. Zudem konnten weltweit mehrere tausend Bots bereinigt werden. Durch BKA und ZIT wurden alle in Deutschland befindlichen Systeme der Qakbot-Infrastruktur beschlagnahmt. Damit ist den internationalen Strafverfolgungsbehörden ein bedeutender Schlag gegen die Cybercrime-Szene gelungen. Dazu sagte Carsten Meywirth, Leiter der Abteilung Cybercrime im Bundeskriminalamt: „Die Zerschlagung der Qakbot-Infrastruktur ist ein erneuter, entscheidender Erfolg gegen Cyberkriminalität. Qakbot fuhr vielfache Angriffsserien und diente als sogenannter Dropper häufig als Türöffner für weitere Schadsoftware, darunter insbesondere Ransomware mit enormem Schadenpotenzial.“ Oberstaatsanwalt Dr. Benjamin Krause, Pressesprecher der Zentralstelle zur Bekämpfung der Internetkriminalität -ZIT- der Generalstaatsanwaltschaft Frankfurt am Main, ergänzt: „Der Ermittlungserfolg ist ein weiterer Beleg dafür, dass die internationale Kooperation der Strafverfolgungsbehörden bei der Bekämpfung von Cybercrime funktioniert.“ Experten äußern sich 1: VIPRE Die Sicherheitsforscher der VIPRE Security Group stellen im vierteljährlich erscheinende “ VIPRE Q2 Email Security Report” fest, dass Qakbot die führende Malware-Familie für Phishing war. Für Cyberkriminelle sind Finanzinstitute und Bildungseinrichtungen gleichermaßen als Ziel interessant, weil beide mit enormen Mengen sensibler Daten hantieren. Im Gesundheitswesen ist es umso dringlicher, die geschäftliche Kontinuität aufrechtzuerhalten. Das macht die Branche zu einem beliebten Ziel für Ransomware-Angriffe, weil angesichts dessen die Wahrscheinlichkeit steigt, dass ein Lösegeld bezahlt wird. Unternehmen, die viel mit IT-Technologie zu tun haben, gehören im zweiten Quartal 2023 mit knapp einem Drittel aller Phishing-/Spam-Mails zu den am stärksten gefährdeten Branchen. Danach folgen Behörden und Bildungseinrichtungen mit über 20 Prozent. Cyberkriminelle arbeiten zudem daran, Phishing-Links zu verbessern. In Q2/2023 verwenden immer mehr Phishing-Mails eine URL-Umleitung, um das wahre Ziel der Phishing-Seite zu verschleiern. Gefährlich sind solche Weiterleitungen auch deshalb, weil nicht alle Sicherheitsprogramme die Ziellinks überprüfen. Darüber hinaus nutzen die Betrüger zunehmend legitime und vertrauenswürdige URLs zum Hosten von Phishing-Seiten. Dadurch lassen sich E-Mail-Filter oder URL-Reputation-Technologien umgehen. Angesichts dessen ist es offensichtlich, dass Phishing auch weiterhin einer der wichtigsten Angriffsvektoren bleiben wird. Wie aber lässt sich feststellen, ob ein Gerät mit der Qakbot-Malware infiziert ist, wie kommt es, dass die weitaus meisten Opfer sich nicht bewusst sind, dass ihre Systeme überhaupt betroffen sind, und wie gelingt es Qakbot so lange unentdeckt zu bleiben? Experten äußern sich 2: Arctic Wolf Dr. Sebastian Schmerl, Director Security Services EMEA bei Arctic Wolf, ordnet die aktuellen Vorfälle ein und gibt Tipps, was Unternehmen nun tun können. „Dass die „Entenjagd“ auf Qakbot erfolgreich war, ist aus gleich zwei Gründen erfreulich: Zum einen sehen wir, dass die internationalen Strafverfolgungsbehörden immer besser zusammenarbeiten, zum anderen ist das ein weiteres Zeichen in Richtung der organisierten Cyberkriminalität, dass man ihnen auf den Fersen ist und sie nicht ungestört ihr Unwesen treiben können. Dennoch sollte auch dieser wichtige Durchbruch nicht überschätzt werden. Denn obwohl das Botnetz vorerst zerschlagen ist, bestehen die Malware-Source-Codes weiterhin – genau wie deren Entwickler. Es ist zu erwarten, dass diese sich innerhalb von wenigen Wochen oder Monaten neu formieren und ihre ‚Arbeit‘ wieder aufnehmen. Für Unternehmen bedeutet dies, dass sie sich durch die Zerschlagung einer Gruppe oder eines Netzwerks nicht zu einem Gefühl falscher Sicherheit hinreißen lassen sollten. Vielmehr sollten sie auch weiterhin wachsam sein, auf eine solide Sicherheitsstrategie mit 24/7 Monitoring ihrer IT-Infrastruktur und nötigen Incident-Response-Funktionalitäten setzen. Außerdem können Unternehmen prüfen, ob ihre Zugangsdaten von den Qakbot-Akteuren gestohlen wurden. Dies funktioniert unter Angabe der eigenen E-Mail-Adresse bei Have I Been Pwned oder auf der Website der niederländischen Polizei.“ Experten äußern sich 3: Zscaler Das Zscaler-TreatlabZ-Teams beobachteten die Aktivitäten von Qakbot vor der Polizeiaktion kontinuierlich: Die jüngsten Kampagnen zeigten, dass Qakbot sich an veränderte Bedingungen anpasst. Nachdem Microsoft Makros im Januar 2023 standardmäßig in allen Office-Anwendungen deaktiviert hatte, begann Qakbot, OneNote-Dateien als Transportmittel zur Verbreitung zu missbrauchen. Mithilfe der Zscaler Sandbox konnten die Sicherheitsforscher die Bedrohungswerte und die spezifischen MITRE ATT&CK-Techniken von Qakbot aufdecken. Mit diesem Wissen können sich Cybersicherheitsexperten weltweit besser gegen diese hartnäckige Malware wappnen und ihre Netzwerke vor bösartigen Kampagnen schützen. Im Juni konnte nun ein deutlicher Rückgang der Qakbot-Aktivitäten beobachtet werden. Die wichtigsten Erkenntnisse der ThreatLabZ-Analyse: Qakbot hat sich im Laufe der Zeit weiterentwickelt und nutzt verschiedene Techniken, um User zu infizieren und Systeme zu gefährden. Qakbot setzt verschiedene Angriffsketten, unterschiedliche Dateiformate und Verschleierungsmethoden ein, um die Erkennung durch Antimalware-Lösungen zu vermeiden und sich in infizierten Systemen festzusetzen. Nach der OneNote-Kampagne war Qakbot bis zur Pause im Juni weiterhin sehr aktiv und verbreitet seine Payload über verschiedene Angriffsketten. Trotz Sicherheitsmaßnahmen und Patches zur Entschärfung der Qakbot-Angriffe finden die Bedrohungsakteure immer wieder neue Wege, um ihre Payload zu verbreiten und anfällige Windows-Dateiformate auszunutzen. Die Malware nutzt verschiedene Dateiformate, darunter pdf, html, xhtml (eXtended HTML), wsf (Windows Script File), js (Javascript), ps (Powershell), xll (Excel Add-in), hta (HTML Application), xmlhttp usw., in ihrer Angriffskette, um Benutzer zu infizieren. Die Analyse der Forscher zeigt die geografische Verbreitung von Qakbot, wobei Command & Control-Server weltweit aktiv sind. Dies verdeutlicht die globale Reichweite der Malware und ihre Fähigkeit, Organisationen weltweit anzugreifen. Eine Analyse der Qakbot-Angriffsketten Zu Beginn des Jahres wurde Qakbot über OneNote-Dateien verbreitet. Im März fand ein Wechsel statt und PDF und HTML-Dateien wurden vermehrt für die erste Infektionswelle eingesetzt, die bei Erfolg zum Nachladen weiterer Malware und schließlich zum Ausliefern der eigentlichen Payload führte. Diese Dateiformate werden typischerweise von unterschiedlichen Malware-Akteuren für die erste Infektion des Users verwendet. Die Analyse von Qakbot deckte multiple Angriffsketten auf, bei denen PDFs für die Erstinfektion zum Einsatz kamen. Durch Anklicken der Dateien wurde Malware aktiviert, die die nächste Stufe an Schadsoftware nachladen konnte. Verschleierte Javascript Daten mit Namen, wie „Invoice“, „Attach“, „Report“ oder „Attachment“ sollten die User auch hier wiederum zum Anklicken verleiten. Durch die Ausführung des Javascripts erstellt Qakbot einen Registrierungsschlüssel und fügt ein base64 verschlüsseltes Powershell-Kommando hinzu. Dazu wird das reg.exe Kommando-Tool eingesetzt, dass den Download und die Ausführung der Qakbot DLL ermöglicht und die Kommunikation mit dem Command&Control Server herstellt. Kampagnenfokus auf Deutschland Im März 2023 erlebte Deutschland einen erheblichen Anstieg der Qakbot Command & Control (C2)-Aktivitäten. In diesem Zeitraum waren wichtige Qakbot-C2-Server aus den USA, den Niederlanden und Frankreich auf Deutschland gerichtet, was auf eine gezielte Kampagne hindeutet. Ein ähnlicher Trend wurde im April 2023 beobachtet, allerdings mit einem geringeren Datenvolumen im Vergleich zum März. Fazit Qakbot nutzt mehrere Dateiformate und Verschleierungsmethoden in ihrer Angriffskette, so dass sie sich der Erkennung durch herkömmliche Antivirenprogramme entziehen kann. Die Malware wird per Phishing-Kampagne verbreitet und ständig an neue Verbreitungsmechanismen angepasst, um Benutzer noch effektiver zu infizieren.	Qakbot is considered one of the most dangerous malware in Germany and worldwide. To spread and control it, the perpetrators used a so-called command-and-control infrastructure, through which they controlled a botnet that included more than 700,000 systems last year alone. After the initial infection through malicious email attachments or hyperlinks, the malware spreads on the victim system and transmits data to the perpetrators. The infected computer thus becomes part of the botnet, a network of compromised computers. Qakbot then reloads more malware to encrypt the data on the computer system. This is done with the aim of extorting the victim. Large ransomware groups have used Qakbot as a gateway for their attacks in the past, causing hundreds of millions of euros worth of damage to businesses, healthcare providers and government agencies worldwide. The technical infrastructure of the malware was taken over by the international measures and the perpetrators were permanently deprived of access to the systems. In addition, several thousand bots were cleaned up worldwide. The BKA and ZIT seized all systems of the Qakbot infrastructure located in Germany. Thus, the international law enforcement authorities have succeeded in striking a significant blow against the cybercrime scene. Carsten Meywirth, head of the Cybercrime Division at the Federal Criminal Police Office, commented: „The dismantling of the Qakbot infrastructure is another decisive success against cybercrime. Qakbot drove multiple series of attacks and, as a so-called dropper, often served as a door opener for further malware, including in particular ransomware with enormous damage potential.“ Senior Public Prosecutor Dr. Benjamin Krause, press spokesman for the Central Office for Combating Cybercrime -ZIT- of the General Public Prosecutor’s Office in Frankfurt am Main, added: „The investigative success is further proof that international cooperation between law enforcement agencies in the fight against cybercrime works.“ Experts express their views 1: VIPRE Security researchers at VIPRE Security Group note in the quarterly “ VIPRE Q2 Email Security Report“ that Qakbot was the leading malware family for phishing. For cybercriminals, financial institutions and educational institutions are equally attractive targets because both handle enormous amounts of sensitive data. In healthcare, the need to maintain business continuity is even more pressing. This makes the industry a popular target for ransomware attacks because, given that, the likelihood of a ransom being paid increases. Businesses that have a lot to do with IT technology are among the most vulnerable industries in the second quarter of 2023, accounting for nearly one-third of all phishing/spam emails. They are followed by government and educational institutions with over 20 percent. Cybercriminals are also working to improve phishing links. In Q2/2023, more and more phishing emails use URL redirection to disguise the true destination of the phishing page. Such redirects are also dangerous because not all security programs check the destination links. In addition, fraudsters are increasingly using legitimate and trusted URLs to host phishing pages. This allows them to bypass email filters or URL reputation technologies. Given this, it is obvious that phishing will continue to be one of the most important attack vectors. But how is it possible to determine whether a device is infected with the Qakbot malware, how is it that the vast majority of victims are unaware that their systems are even affected, and how does Qakbot manage to remain undetected for so long? Experts speak out 2: Arctic Wolf Dr. Sebastian Schmerl, Director Security Services EMEA at Arctic Wolf, puts the current incidents in perspective and offers tips on what companies can do now. „The fact that the „duck hunt“ on Qakbot was successful is pleasing for two reasons at once: on the one hand, we see that international law enforcement agencies are cooperating better and better, and on the other hand, this is another sign in the direction of organized cybercrime that they are being hunted down and cannot go about their mischief undisturbed. Nevertheless, this important breakthrough should not be overestimated. Because although the botnet has been smashed for the time being, the malware source codes still exist – just like their developers. It is to be expected that they will regroup and resume their ‚work‘ within a few weeks or months. For enterprises, this means that they should not be lulled into a sense of false security by the disruption of a group or network. Rather, they should remain vigilant, rely on a solid security strategy with 24/7 monitoring of their IT infrastructure and necessary incident response capabilities. Companies can also check whether their credentials have been stolen by Qakbot actors. This works by providing their own email address at Have I Been Pwned or on the Dutch police website.“ Experts speak out 3: Zscaler Zscaler’s TreatlabZ team continuously monitored Qakbot activity prior to the police action: recent campaigns showed Qakbot adapting to changing conditions. After Microsoft disabled macros by default in all Office applications in January 2023, Qakbot started abusing OneNote files as a transport to spread. Using the Zscaler Sandbox, security researchers were able to uncover Qakbot’s threat scores and specific MITRE ATT&CK techniques. With this knowledge, cybersecurity professionals worldwide can better arm themselves against this persistent malware and protect their networks from malicious campaigns. June has now seen a significant drop in Qakbot activity. The key findings of the ThreatLabZ analysis: Qakbot has evolved over time and uses different techniques to infect users and compromise systems. Qakbot uses different attack chains, different file formats, and obfuscation methods to avoid detection by anti-malware solutions and take root in infected systems. After the OneNote campaign, Qakbot continued to be very active and spread its payload via different attack chains until the break in June. Despite security measures and patches to mitigate Qakbot attacks, threat actors continue to find new ways to spread their payload and exploit vulnerable Windows file formats. The malware uses various file formats, including pdf, html, xhtml (eXtended HTML), wsf (Windows Script File), js (Javascript), ps (Powershell), xll (Excel Add-in), hta (HTML Application), xmlhttp, etc., in its attack chain to infect users. The researchers‘ analysis shows the geographical spread of Qakbot, with Command & Control servers active worldwide. This highlights the global reach of the malware and its ability to attack organizations worldwide. An analysis of Qakbot attack chains. At the beginning of the year, Qakbot was spread via OneNote files. In March, a switch took place and PDF and HTML files were increasingly used for the first wave of infection, which, if successful, led to the reloading of more malware and eventually the delivery of the actual payload. These file formats are typically used by different malware actors for the initial infection of the user. Qakbot’s analysis uncovered multiple attack chains that used PDFs for the initial infection. Clicking on the files activated malware that could reload the next stage of malware. Obfuscated Javascript data with names such as „Invoice“, „Attach“, „Report“ or „Attachment“ were again intended to entice users to click on them. By executing the javascript, Qakbot creates a registry key and adds a base64 encrypted powershell command. For this purpose, the reg.exe command tool is used, which enables the download and execution of the Qakbot DLL and establishes communication with the Command&Control server. Campaign focus on Germany In March 2023, Germany experienced a significant increase in Qakbot Command & Control (C2) activity. During this period, key Qakbot C2 servers from the U.S., the Netherlands, and France were focused on Germany, indicating a targeted campaign. A similar trend was observed in April 2023, but with a lower volume of data compared to March. Conclusion Qakbot uses multiple file formats and obfuscation methods in its attack chain, allowing it to evade detection by traditional antivirus programs. The malware is spread via phishing campaign and constantly adapts to new spreading mechanisms to infect users even more effectively.

Das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt am Main haben die Server-Infrastruktur der Schadsoftware Qakbot übernommen und zerschlagen.

The German Federal Criminal Police Office (BKA) and the General Prosecutor’s Office in Frankfurt am Main have taken over and smashed the server infrastructure of the Qakbot malware.

Qakbot gilt als eine der gefährlichsten Schadsoftware in Deutschland und weltweit. Zur Verbreitung und Steuerung nutzten die Täter eine sogenannte Command-and-Control-Infrastruktur, über die sie ein Botnetz steuerten, das allein im vergangenen Jahr über 700.000 Systeme umfasste. Nach der Erstinfektion durch schädliche E-Mail-Anhänge oder Hyperlinks verbreitet sich die Schadsoftware auf dem Opfersystem und übermittelt Daten an die Täter.

Der infizierte Computer wird so Teil des Botnetzes, einem Netzwerk von kompromittierten Computern. Anschließend lädt Qakbot weitere Schadsoftware nach, um die Daten auf dem Computersystem zu verschlüsseln. Dies geschieht mit dem Ziel, das Opfer zu erpressen. Große Ransomware-Gruppen haben Qakbot in der Vergangenheit als Einfallstor für ihre Angriffe genutzt, die bei Unternehmen, im Gesundheitswesen und bei Behörden weltweit Schäden in Höhe von mehreren hundert Millionen Euro verursacht haben.

Die technische Infrastruktur der Schadsoftware wurde durch die internationalen Maßnahmen übernommen und den Tätern der Zugriff auf die Systeme dauerhaft entzogen. Zudem konnten weltweit mehrere tausend Bots bereinigt werden. Durch BKA und ZIT wurden alle in Deutschland befindlichen Systeme der Qakbot-Infrastruktur beschlagnahmt. Damit ist den internationalen Strafverfolgungsbehörden ein bedeutender Schlag gegen die Cybercrime-Szene gelungen.

Dazu sagte Carsten Meywirth, Leiter der Abteilung Cybercrime im Bundeskriminalamt: „Die Zerschlagung der Qakbot-Infrastruktur ist ein erneuter, entscheidender Erfolg gegen Cyberkriminalität. Qakbot fuhr vielfache Angriffsserien und diente als sogenannter Dropper häufig als Türöffner für weitere Schadsoftware, darunter insbesondere Ransomware mit enormem Schadenpotenzial.“

Oberstaatsanwalt Dr. Benjamin Krause, Pressesprecher der Zentralstelle zur Bekämpfung der Internetkriminalität -ZIT- der Generalstaatsanwaltschaft Frankfurt am Main, ergänzt: „Der Ermittlungserfolg ist ein weiterer Beleg dafür, dass die internationale Kooperation der Strafverfolgungsbehörden bei der Bekämpfung von Cybercrime funktioniert.“

Experten äußern sich 1: VIPRE

Die Sicherheitsforscher der VIPRE Security Group stellen im vierteljährlich erscheinende “ VIPRE Q2 Email Security Report” fest, dass Qakbot die führende Malware-Familie für Phishing war.

Für Cyberkriminelle sind Finanzinstitute und Bildungseinrichtungen gleichermaßen als Ziel interessant, weil beide mit enormen Mengen sensibler Daten hantieren. Im Gesundheitswesen ist es umso dringlicher, die geschäftliche Kontinuität aufrechtzuerhalten. Das macht die Branche zu einem beliebten Ziel für Ransomware-Angriffe, weil angesichts dessen die Wahrscheinlichkeit steigt, dass ein Lösegeld bezahlt wird. Unternehmen, die viel mit IT-Technologie zu tun haben, gehören im zweiten Quartal 2023 mit knapp einem Drittel aller Phishing-/Spam-Mails zu den am stärksten gefährdeten Branchen. Danach folgen Behörden und Bildungseinrichtungen mit über 20 Prozent.

Cyberkriminelle arbeiten zudem daran, Phishing-Links zu verbessern. In Q2/2023 verwenden immer mehr Phishing-Mails eine URL-Umleitung, um das wahre Ziel der Phishing-Seite zu verschleiern.

Gefährlich sind solche Weiterleitungen auch deshalb, weil nicht alle Sicherheitsprogramme die Ziellinks überprüfen. Darüber hinaus nutzen die Betrüger zunehmend legitime und vertrauenswürdige URLs zum Hosten von Phishing-Seiten. Dadurch lassen sich E-Mail-Filter oder URL-Reputation-Technologien umgehen.

Angesichts dessen ist es offensichtlich, dass Phishing auch weiterhin einer der wichtigsten Angriffsvektoren bleiben wird. Wie aber lässt sich feststellen, ob ein Gerät mit der Qakbot-Malware infiziert ist, wie kommt es, dass die weitaus meisten Opfer sich nicht bewusst sind, dass ihre Systeme überhaupt betroffen sind, und wie gelingt es Qakbot so lange unentdeckt zu bleiben?

Experten äußern sich 2: Arctic Wolf

Dr. Sebastian Schmerl, Director Security Services EMEA bei Arctic Wolf, ordnet die aktuellen Vorfälle ein und gibt Tipps, was Unternehmen nun tun können.

„Dass die „Entenjagd“ auf Qakbot erfolgreich war, ist aus gleich zwei Gründen erfreulich: Zum einen sehen wir, dass die internationalen Strafverfolgungsbehörden immer besser zusammenarbeiten, zum anderen ist das ein weiteres Zeichen in Richtung der organisierten Cyberkriminalität, dass man ihnen auf den Fersen ist und sie nicht ungestört ihr Unwesen treiben können.

Dennoch sollte auch dieser wichtige Durchbruch nicht überschätzt werden. Denn obwohl das Botnetz vorerst zerschlagen ist, bestehen die Malware-Source-Codes weiterhin – genau wie deren Entwickler. Es ist zu erwarten, dass diese sich innerhalb von wenigen Wochen oder Monaten neu formieren und ihre ‚Arbeit‘ wieder aufnehmen.

Für Unternehmen bedeutet dies, dass sie sich durch die Zerschlagung einer Gruppe oder eines Netzwerks nicht zu einem Gefühl falscher Sicherheit hinreißen lassen sollten. Vielmehr sollten sie auch weiterhin wachsam sein, auf eine solide Sicherheitsstrategie mit 24/7 Monitoring ihrer IT-Infrastruktur und nötigen Incident-Response-Funktionalitäten setzen.

Außerdem können Unternehmen prüfen, ob ihre Zugangsdaten von den Qakbot-Akteuren gestohlen wurden. Dies funktioniert unter Angabe der eigenen E-Mail-Adresse bei Have I Been Pwned oder auf der Website der niederländischen Polizei.“

Experten äußern sich 3: Zscaler

Das Zscaler-TreatlabZ-Teams beobachteten die Aktivitäten von Qakbot vor der Polizeiaktion kontinuierlich: Die jüngsten Kampagnen zeigten, dass Qakbot sich an veränderte Bedingungen anpasst. Nachdem Microsoft Makros im Januar 2023 standardmäßig in allen Office-Anwendungen deaktiviert hatte, begann Qakbot, OneNote-Dateien als Transportmittel zur Verbreitung zu missbrauchen. Mithilfe der Zscaler Sandbox konnten die Sicherheitsforscher die Bedrohungswerte und die spezifischen MITRE ATT&CK-Techniken von Qakbot aufdecken. Mit diesem Wissen können sich Cybersicherheitsexperten weltweit besser gegen diese hartnäckige Malware wappnen und ihre Netzwerke vor bösartigen Kampagnen schützen. Im Juni konnte nun ein deutlicher Rückgang der Qakbot-Aktivitäten beobachtet werden.

Die wichtigsten Erkenntnisse der ThreatLabZ-Analyse:

Qakbot hat sich im Laufe der Zeit weiterentwickelt und nutzt verschiedene Techniken, um User zu infizieren und Systeme zu gefährden. Qakbot setzt verschiedene Angriffsketten, unterschiedliche Dateiformate und Verschleierungsmethoden ein, um die Erkennung durch Antimalware-Lösungen zu vermeiden und sich in infizierten Systemen festzusetzen.
Nach der OneNote-Kampagne war Qakbot bis zur Pause im Juni weiterhin sehr aktiv und verbreitet seine Payload über verschiedene Angriffsketten. Trotz Sicherheitsmaßnahmen und Patches zur Entschärfung der Qakbot-Angriffe finden die Bedrohungsakteure immer wieder neue Wege, um ihre Payload zu verbreiten und anfällige Windows-Dateiformate auszunutzen. Die Malware nutzt verschiedene Dateiformate, darunter pdf, html, xhtml (eXtended HTML), wsf (Windows Script File), js (Javascript), ps (Powershell), xll (Excel Add-in), hta (HTML Application), xmlhttp usw., in ihrer Angriffskette, um Benutzer zu infizieren.
Die Analyse der Forscher zeigt die geografische Verbreitung von Qakbot, wobei Command & Control-Server weltweit aktiv sind. Dies verdeutlicht die globale Reichweite der Malware und ihre Fähigkeit, Organisationen weltweit anzugreifen.

Eine Analyse der Qakbot-Angriffsketten

Zu Beginn des Jahres wurde Qakbot über OneNote-Dateien verbreitet. Im März fand ein Wechsel statt und PDF und HTML-Dateien wurden vermehrt für die erste Infektionswelle eingesetzt, die bei Erfolg zum Nachladen weiterer Malware und schließlich zum Ausliefern der eigentlichen Payload führte. Diese Dateiformate werden typischerweise von unterschiedlichen Malware-Akteuren für die erste Infektion des Users verwendet.

Die Analyse von Qakbot deckte multiple Angriffsketten auf, bei denen PDFs für die Erstinfektion zum Einsatz kamen. Durch Anklicken der Dateien wurde Malware aktiviert, die die nächste Stufe an Schadsoftware nachladen konnte. Verschleierte Javascript Daten mit Namen, wie „Invoice“, „Attach“, „Report“ oder „Attachment“ sollten die User auch hier wiederum zum Anklicken verleiten. Durch die Ausführung des Javascripts erstellt Qakbot einen Registrierungsschlüssel und fügt ein base64 verschlüsseltes Powershell-Kommando hinzu. Dazu wird das reg.exe Kommando-Tool eingesetzt, dass den Download und die Ausführung der Qakbot DLL ermöglicht und die Kommunikation mit dem Command&Control Server herstellt.

Kampagnenfokus auf Deutschland

Im März 2023 erlebte Deutschland einen erheblichen Anstieg der Qakbot Command & Control (C2)-Aktivitäten. In diesem Zeitraum waren wichtige Qakbot-C2-Server aus den USA, den Niederlanden und Frankreich auf Deutschland gerichtet, was auf eine gezielte Kampagne hindeutet. Ein ähnlicher Trend wurde im April 2023 beobachtet, allerdings mit einem geringeren Datenvolumen im Vergleich zum März.

Fazit

Qakbot nutzt mehrere Dateiformate und Verschleierungsmethoden in ihrer Angriffskette, so dass sie sich der Erkennung durch herkömmliche Antivirenprogramme entziehen kann. Die Malware wird per Phishing-Kampagne verbreitet und ständig an neue Verbreitungsmechanismen angepasst, um Benutzer noch effektiver zu infizieren.

Qakbot is considered one of the most dangerous malware in Germany and worldwide. To spread and control it, the perpetrators used a so-called command-and-control infrastructure, through which they controlled a botnet that included more than 700,000 systems last year alone. After the initial infection through malicious email attachments or hyperlinks, the malware spreads on the victim system and transmits data to the perpetrators.

The infected computer thus becomes part of the botnet, a network of compromised computers. Qakbot then reloads more malware to encrypt the data on the computer system. This is done with the aim of extorting the victim. Large ransomware groups have used Qakbot as a gateway for their attacks in the past, causing hundreds of millions of euros worth of damage to businesses, healthcare providers and government agencies worldwide.

The technical infrastructure of the malware was taken over by the international measures and the perpetrators were permanently deprived of access to the systems. In addition, several thousand bots were cleaned up worldwide. The BKA and ZIT seized all systems of the Qakbot infrastructure located in Germany. Thus, the international law enforcement authorities have succeeded in striking a significant blow against the cybercrime scene.

Carsten Meywirth, head of the Cybercrime Division at the Federal Criminal Police Office, commented: „The dismantling of the Qakbot infrastructure is another decisive success against cybercrime. Qakbot drove multiple series of attacks and, as a so-called dropper, often served as a door opener for further malware, including in particular ransomware with enormous damage potential.“

Senior Public Prosecutor Dr. Benjamin Krause, press spokesman for the Central Office for Combating Cybercrime -ZIT- of the General Public Prosecutor’s Office in Frankfurt am Main, added: „The investigative success is further proof that international cooperation between law enforcement agencies in the fight against cybercrime works.“

Experts express their views 1: VIPRE

Security researchers at VIPRE Security Group note in the quarterly “ VIPRE Q2 Email Security Report“ that Qakbot was the leading malware family for phishing.

For cybercriminals, financial institutions and educational institutions are equally attractive targets because both handle enormous amounts of sensitive data. In healthcare, the need to maintain business continuity is even more pressing. This makes the industry a popular target for ransomware attacks because, given that, the likelihood of a ransom being paid increases. Businesses that have a lot to do with IT technology are among the most vulnerable industries in the second quarter of 2023, accounting for nearly one-third of all phishing/spam emails. They are followed by government and educational institutions with over 20 percent.

Cybercriminals are also working to improve phishing links. In Q2/2023, more and more phishing emails use URL redirection to disguise the true destination of the phishing page.

Such redirects are also dangerous because not all security programs check the destination links. In addition, fraudsters are increasingly using legitimate and trusted URLs to host phishing pages. This allows them to bypass email filters or URL reputation technologies.

Given this, it is obvious that phishing will continue to be one of the most important attack vectors. But how is it possible to determine whether a device is infected with the Qakbot malware, how is it that the vast majority of victims are unaware that their systems are even affected, and how does Qakbot manage to remain undetected for so long?

Experts speak out 2: Arctic Wolf

Dr. Sebastian Schmerl, Director Security Services EMEA at Arctic Wolf, puts the current incidents in perspective and offers tips on what companies can do now.

„The fact that the „duck hunt“ on Qakbot was successful is pleasing for two reasons at once: on the one hand, we see that international law enforcement agencies are cooperating better and better, and on the other hand, this is another sign in the direction of organized cybercrime that they are being hunted down and cannot go about their mischief undisturbed.

Nevertheless, this important breakthrough should not be overestimated. Because although the botnet has been smashed for the time being, the malware source codes still exist – just like their developers. It is to be expected that they will regroup and resume their ‚work‘ within a few weeks or months.

For enterprises, this means that they should not be lulled into a sense of false security by the disruption of a group or network. Rather, they should remain vigilant, rely on a solid security strategy with 24/7 monitoring of their IT infrastructure and necessary incident response capabilities.

Companies can also check whether their credentials have been stolen by Qakbot actors. This works by providing their own email address at Have I Been Pwned or on the Dutch police website.“

Experts speak out 3: Zscaler

Zscaler’s TreatlabZ team continuously monitored Qakbot activity prior to the police action: recent campaigns showed Qakbot adapting to changing conditions. After Microsoft disabled macros by default in all Office applications in January 2023, Qakbot started abusing OneNote files as a transport to spread. Using the Zscaler Sandbox, security researchers were able to uncover Qakbot’s threat scores and specific MITRE ATT&CK techniques. With this knowledge, cybersecurity professionals worldwide can better arm themselves against this persistent malware and protect their networks from malicious campaigns. June has now seen a significant drop in Qakbot activity.

The key findings of the ThreatLabZ analysis:

Qakbot has evolved over time and uses different techniques to infect users and compromise systems. Qakbot uses different attack chains, different file formats, and obfuscation methods to avoid detection by anti-malware solutions and take root in infected systems.
After the OneNote campaign, Qakbot continued to be very active and spread its payload via different attack chains until the break in June. Despite security measures and patches to mitigate Qakbot attacks, threat actors continue to find new ways to spread their payload and exploit vulnerable Windows file formats. The malware uses various file formats, including pdf, html, xhtml (eXtended HTML), wsf (Windows Script File), js (Javascript), ps (Powershell), xll (Excel Add-in), hta (HTML Application), xmlhttp, etc., in its attack chain to infect users.
The researchers‘ analysis shows the geographical spread of Qakbot, with Command & Control servers active worldwide. This highlights the global reach of the malware and its ability to attack organizations worldwide.

An analysis of Qakbot attack chains.

At the beginning of the year, Qakbot was spread via OneNote files. In March, a switch took place and PDF and HTML files were increasingly used for the first wave of infection, which, if successful, led to the reloading of more malware and eventually the delivery of the actual payload. These file formats are typically used by different malware actors for the initial infection of the user.

Qakbot’s analysis uncovered multiple attack chains that used PDFs for the initial infection. Clicking on the files activated malware that could reload the next stage of malware. Obfuscated Javascript data with names such as „Invoice“, „Attach“, „Report“ or „Attachment“ were again intended to entice users to click on them. By executing the javascript, Qakbot creates a registry key and adds a base64 encrypted powershell command. For this purpose, the reg.exe command tool is used, which enables the download and execution of the Qakbot DLL and establishes communication with the Command&Control server.

Campaign focus on Germany

In March 2023, Germany experienced a significant increase in Qakbot Command & Control (C2) activity. During this period, key Qakbot C2 servers from the U.S., the Netherlands, and France were focused on Germany, indicating a targeted campaign. A similar trend was observed in April 2023, but with a lower volume of data compared to March.

Conclusion

Qakbot uses multiple file formats and obfuscation methods in its attack chain, allowing it to evade detection by traditional antivirus programs. The malware is spread via phishing campaign and constantly adapts to new spreading mechanisms to infect users even more effectively.

Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.

Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.

Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

BKA zerschlägt Qakbot: Expertenkommentare – BKA smashes Qakbot: expert comments

VonJakob Jung

Von Jakob Jung

Ähnliche Beiträge

Erfolgreicher Börsengang von Rubrik – Rubrik successful IPO

Veritas: KI für Resilienz – Veritas: AI for Resilience

Datenintelligenz für Branchen – Data Intelligence for Industries

Schreibe einen Kommentar Antworten abbrechen

Versäumt

Erfolgreicher Börsengang von Rubrik – Rubrik successful IPO

IBM Storage Assurance

Ubuntu 24.04 LTS Noble Numbat

Veritas: KI für Resilienz – Veritas: AI for Resilience