Riasztás Qbot malware kampányról

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet riasztást ad ki Qbot (más néven Quakbot/Pinkslipbot) terjedésével kapcsolatban. Az NBSZ NKI tapasztalatai alapján a malware terjesztésére irányuló e-mail tevékenység az elmúlt időszakban ugrásszerűen megemelkedett. A Qbot egy moduláris felépítésű trójai, amely 2008 óta van jelen. Elsősorban különböző szenzitív adatok megszerzésére tesz kísérletet, mint pl.: banki adatok, böngészőben mentett adatok, különböző azonosítók, azonban billentyűzetfigyelési funkcióval is rendelkezik. Új változatai zsarolóvírus telepítésre is alkalmasak, elsősorban az Egregor ransomware-vel hozható összefüggésbe.

A Qbot terjesztése jellemzője fertőzött Office dokumentumokkal történik, a jelenleg futó kampányban Excel állományokon keresztül kísérlik meg telepíteni a káros tartalmat. A Qbot jellemzője, hogy terjesztése során korábban megszerzett e-mail üzenetek kerülnek felhasználásra, amelyre „válasz”-ként küldik a káros tartalom eléréshez szükséges URL-t. A levelekben az URL dinamikusan változik, illetve egy négykarakteres jelszót tartalmaz, amely az állomány futtatásához szükséges. Jelen esetben a felhasznált levelek megszerzése vélhetően a 2021. 11-12. hónapban történt, a Microsoft Exchange szerverek egyes változatait érintő sérülékenység kihasználásával.

Fontos tudni, hogy a feladó – Intézetünk tapasztalatai alapján – minden esetben hamisított, az eredeti levelezéshez hozzáfűzött kiegészítés pedig jellemzően nyelvtanilag hibás, magyartalan megfogalmazással készült.

Az NBSZ NKI az eset kapcsán javasolja a kapcsolódó indikátorok tiltást a határvédelmi rendszeren.

 

IoC-k:

  • SHA256: 5954bf97fdde4d060c829258fe5f19b91161b8df5b85933cdc3def2cf6c150b1
  • SHA256: 7c0f2e52846584547bb42fa9460dce37097334a4370f389c62281880a47fe63d
  • SHA256: 9fcefa8fe0b52b1b46d166ebcd4ccaa00583ec4d67b6bd961925b022824d5cd8
  • SHA256: 7a7b21534d62cd6f3660d998c97149e865875d2e650aac28385e86449a25b280
  • SHA256: e3296366bc2fa1fb8d737f674c77196cbd978cf975bba2ff7eb03dd193ec1fbe
  • SHA256: 9e064a4c60f5738cd020dc615b422af461d2d188dafd2cea9f2118a9b5ca4e0d
  • SHA256: d2d994becc9c471eefd5ab7e0ea4e8d6d8b36bdfb5dab15d2a522442aef649b9
  • SHA256: 69998b47d29db39339b7c6cbe0489fff87245f33009921c36992ce4b757474fe
  • SHA256: 4c998351051ee903a3f00dd24feb5608548ace31d252bc93bbd83a47c433f728
  • SHA256: f3356281469930106916192e0ff653b784a6f9a548b0bc1ccee4f3d0dfa854f5
  • SHA256: d180eff6bc063c732d26d6408eab3c0b244cbd421aca6c5fdd152b2b2b996725
  • SHA256: f475466d67bdc6ea9f816cf1efe5bdafbb3fce131702d76480f212e397362979
  • SHA256: 240b4c43ba1f2ecc9a1fa328b30bb088369efc53c96883a7e5b5e22b715f66fd
  • SHA256: 6a6410c4d722720e56f4af781bec3ce667b2a8600f7aa4a582ec0f83e86ebbca
  • SHA256: 989026428c073b83ad49b9b22e33c610ef8e865c7ef943eee97704eda3ce0b75
  • renwinautovaluers[.]com
  • buy-100mgviagra[.]com
  • timeinindianow[.]com
  • 207[.]174[.]212[.]128
  • 162[.]241[.]123[.]45

 

További, kockázatcsökkentő / megelőző intézkedések:

  • Makrók futtatásának tiltása.
  • Felhasználók tudatosítása, különös tekintettel, ha a beérkezett levél jóval korábbi (tavalyi) levelezésre érkezik válaszként.
  • Határvédelmi rendszerek szoftvereinek naprakészen tartása.
  • Alkalmazások és operációs rendszerek naprakészen tartása.
  • Határvédelmi eszközök feketelistájának frissítése (több gyártó rendelkezik nyilvánosan elérhető listákkal pl.: Cisco), ezáltal csökkentve a támadás kockázatát.
  • Rendszeres online és offline (szalagos egység, külső merevlemez) biztonsági mentés, archiválás.

Biztonsági incidens bekövetkezése esetén az NBSZ NKI javasolja:

  • Az érintett eszköz hálózatról történő leválasztását.
  • Az érintett adathordozók helyreállítása előtt bitazonos másolat készítését.
  • Incidens bejelentését az NBSZ NKI részére a CSIRT@nki.gov.hu e-mail címen.

 

További hivatkozások:

 

Letöltés: