Analiz: Türkiye’yi de Etkileyen Yükselen Tehdit QBot Trojanı Hakkında Her Şey

Finansal bilgileri çalmak için özelleştirilen QBot adlı trojan, yeni güncellemelerin ardından devletleri, askeri ve üretim sektörlerini de hedef almaya başladı. QBot’a en çok maruz kalan ülkelerin başında ABD geliyor. Türkiye’nin de bu kapsamda öne çıkan hedefler arasında olduğu görülüyor.

Güvenlik araştırmacıları tarafından sunulan en yeni bilgiler, QBot’un e-posta tabanlı kötü amaçlı yazılım Emotet ile geri dönüş yaptığı yönünde. Emotet, birçok botnet tabanlı spam kampanyası ve fidye yazılım saldırısından sorumlu tutuluyordu. Qbot ise artık hedef seçilen tüketicilerin Outlook hesaplarından tüm e-posta dizinlerini topluyor ve gelecekteki malspam kampanyaları (kötü amaçlı e-postalar. Kullanıcıları güvenlik açıklarından yararlanma kitleri barındıran web sitelerine yönlendiren veya virüslü belge içeren e-postaları iletme yöntemi) için kullanılmalarına zemin hazırlıyor.

Analizler, Emotet benzeri “üçüncü parti” enfeksiyon altyapısı kullanan Qbot’un edindiği aktif malspam kampanyası ile kurumlara saldırmaya başladığına işaret ediyor.

Oltamala saldırıları ile tuzağa düşürüyor

İlk olarak 2008’de tespit edilen Qbot; (QuakBot, QakBot veya Pinkslipbot olarak da bilinir), aradan geçen yıllarda veri çalmanın ötesine geçerek çok daha etkin bir siber saldırı aracına dönüştü. Prolock fidye yazılımı gibi birçok kötü amaçlı yazılımı taşıyabilen, hatta bir hedefin Windows işletim sistemine uzaktan erişerek IP adresi üzerinden bankacılık işlemleri yapabilen Qbot, günümüzün yüksek tehdit içeren saldırıları arasında.

Siber suçlular Qbot’u aktif edebilmek için genelde oltalama saldırısı yöntemini kullanıp hedeflerini kötü amaçlı web sayfalarına yönlendiriyor ve bir “dropper” aracılığıyla Qbot’u yüklüyorlar. Dropper, virüsler “bırakarak” sistemlere yüklenmelerini sağlayan kötü amaçlı yazılım şeklinde özetlenebilir. Genelde çok rastlanmayan ve tespit edilmesi zor olan dropper’lar, aynı zamanda antivirüs yazılımlarının alışık olmadığı yeni bir türü temsil ediyor.

Qbot malspam saldırılarının analizleri, adli tıp incelemelerinden sıyrılabilmek adına tespit ve araştırma-önleme teknikleri ile güncellendiklerini ortaya çıkardı. Dahası, yakın zamanda analiz edilen bir Qbot örneğinde İçerik Silahsızlandırma ve Yeniden Yapılandırma (CDR) ve Bitim Noktası Tespiti ve Yanıtı (Endpoint Detection and Response – EDR) sistemlerini bypass etme yeteneği de tespit edildi.

Basamaklar…

İlk basamak, özelleştirilmiş bir oltalama e-postası ile başlatılıyor. E-posta kötü amaçlı Visual Basic Script (VBS) içeren bir ZIP dosyası veya ZIP dosyasına yönlendiren bağlantı içeriyor. Microsoft tarafından Visual Basic üzerinde modellenen VBScript, bir Active Scripting dilini temsil ediyor. İndirilen içerikler, siber suçluların kontrolündeki sunucu ile iletişim kurulmasını mümkün kılıyor ve komutlar iletiliyor.

Şirketlere gönderilen oltalama e-postaları, sahte Covid-19 tuzakları, vergi ödemesi notları ve işe alım ilanlarından oluşuyor. Dahası, güven sağlamak amacıyla iki parti arasındaki geçmişteki yazışmalar hakkında bilgiler sunuluyor. Bunu sağlamak için bir e-posta toplayıcı modülü kullanılarak geçmişteki e-posta yazışmalarının içerikleri Outlook hesaplarından aktarılıyor ve siber suçlu kontrolündeki sunucuya yükleniyor.

Türkiye de hedefte

Türkiye’nin küresel alanda düzenlenen saldırıların yüzde 6’sına maruz kaldığı Qbot, halihazırda şifre çalıyor, tarayıcı çerezlerini ele geçiriyor ve bankaların web sayfalarına JavaScript kodları yüklüyor. Qbot geliştiricilerinin 2020’nin başından bu yana en az 15 farklı versiyon sunduğu tahmin ediliyor. Bilinen en son versiyonun piyasaya sürülme tarihi ise 7 Ağustos.

Tüm yeni yeteneklerinin üzerine, Qbot uzaktan görsel bağlantı (VNC) bağlantısı ile hedeflerin bilgisayarını kontrol edebiliyor. Böylece, dışarıdan bir idareci kullanıcının bilgisi olmadan bilgisayarı üzerinden finansal işlem gerçekleştirebiliyor.

Enfekte cihazdan kontrol sunucusuna 

Qbot’un yapabildikleri, yukarıda anlatılan işlemlerle sınırlı değil. Aynı zamanda müdahale edilen makineleri proxy modulü kullanarak bir botnet’e dahil edebilen ayrı bir mekanizmaya da sahip. Böylece, enfekte bilgisayarlar kontrol sunucusu olarak kullanılabiliyor.

Güvenlik araştırmacıları, kötü amaçlı yazılımları yaymak için e-posta kullanan Qbot’un engellenmesinde oltamala saldırılarına dikkat edilmesinin kritik rol üstleneceğini vurguluyor.

Qbot, kendi aktif malspam altyapısı ile geniş coğrafyalara yayıldığı gibi, Emotet gibi üçüncü parti enfekte altyapıları da kullanıyor. Eski saldırı yöntemlerini bile yeni içerikler ile yayarak Gelişmiş Sürekli Tehditler (APT) riski doğuruyor. Geliştiricileri, yeni yöntemler ile şirketlerden büyük boyutlarda veri çalmaya odaklanıyor.