Aktor Ancaman QakBot Masih Beraksi, Menggunakan Ransom Knight dan Remcos RAT dalam Serangan Terbaru

The Hacker News

Cyberthreat.id - Meskipun ada gangguan pada infrastrukturnya, pelaku ancaman di balik malware QakBot telah dikaitkan dengan kampanye phishing yang sedang berlangsung sejak awal Agustus 2023 yang menyebabkan pengiriman ransomware Ransom Knight (alias Cyclops) dan Remcos RAT.

Hal ini menunjukkan bahwa operasi penegakan hukum mungkin tidak berdampak pada infrastruktur pengiriman spam operator Qakbot.

“Hanya berdampak pada server command-and-control (C2) mereka,” kata peneliti Cisco Talos, Guilherme Venere, dalam laporan baru yang diterbitkan hari ini sebagaimana dikutip The Hacker News.

Aktivitas tersebut dinilai cukup meyakinkan oleh perusahaan keamanan siber tersebut kepada afiliasi QakBot.

Hingga saat ini, tidak ada bukti bahwa pelaku ancaman telah kembali mendistribusikan pemuat malware itu sendiri setelah penghapusan infrastruktur.

QakBot, juga disebut QBot dan Pinkslipbot, berasal dari trojan perbankan berbasis Windows pada tahun 2007 dan kemudian mengembangkan kemampuan untuk mengirimkan muatan tambahan, termasuk ransomware.

Pada akhir Agustus 2023, operasi malware terkenal ini mendapat pukulan telak sebagai bagian dari operasi bernama Duck Hunt.

Aktivitas terbaru, yang dimulai tepat sebelum penghapusan, dimulai dengan file LNK berbahaya yang kemungkinan besar didistribusikan melalui email phishing yang, ketika diluncurkan, meledakkan infeksi dan pada akhirnya menyebarkan ransomware Ransom Knight, sebuah perubahan merek baru-baru ini dari Cyclops ransomware-as-a- skema layanan (RaaS).

Arsip ZIP yang berisi file LNK juga telah diamati menggabungkan file add-in Excel (.XLL) untuk menyebarkan Remcos RAT, yang memfasilitasi akses pintu belakang yang persisten ke titik akhir.

Beberapa nama file yang digunakan dalam kampanye ini ditulis dalam bahasa Italia, yang menunjukkan bahwa penyerang menargetkan pengguna di wilayah tersebut.

“Meskipun kami belum melihat pelaku ancaman yang mendistribusikan Qakbot pasca penghapusan infrastruktur, kami menilai malware tersebut kemungkinan akan terus menimbulkan ancaman signifikan di masa depan,” kata Venere.

“Mengingat operator tetap aktif, mereka mungkin memilih untuk membangun kembali infrastruktur Qakbot untuk sepenuhnya melanjutkan aktivitas pra-penutupan mereka.”

Cisco Talos mengatakan kepada The Hacker News bahwa rantai serangan juga digunakan untuk mengirimkan malware lain seperti DarkGate, MetaStealer, dan RedLine Stealer.

“Mengidentifikasi cakupan sebenarnya memang sulit, tetapi seperti yang telah kita lihat, jaringan distribusi QakBot sangat efektif dan memiliki kemampuan untuk mendorong kampanye skala besar,” kata Venere kepada publikasi tersebut.

“Kami telah mengamati email phishing yang menyebarkan malware ini ke korban di Italia, Jerman, dan Inggris yang menunjukkan bahwa kampanye ini tersebar luas.”[]