เตือนภัย Qakbot กลับมาพร้อมกับการอัปเดตใหม่ ทำให้เกิดภัยคุกคามทางไซเบอร์ที่รุนแรงมากขึ้น ถ้าอยากหลีกเลี่ยงควรทำตามคำเเนะนำของเรา

Qakbot หรือที่รู้จักกันในชื่อ Qbot เป็น แรนซัมแวร์หรือมัลแวร์ด้านการเงินประเภทหนึ่งที่ซับซ้อนซึ่งทำงานมาหลายปีแล้ว มุ่งเป้าไปที่ระบบที่ใช้ Windows เป็นหลัก และออกแบบมาเพื่อขโมยข้อมูลทางการเงินที่ละเอียดอ่อน ข้อมูลรับรองการเข้าสู่ระบบ และข้อมูลส่วนบุคคลอื่นๆ

ทำไม Qakbot ถึงสำคัญ? แม้ว่า Qakbot จะเป็นที่รู้จักกันดีว่าส่งผลกระทบต่ออุตสาหกรรมทางการเงิน แต่เราก็เห็นว่ามัลแวร์ชนิดนี้มีการพัฒนาและโจมตีไปยังอุตสาหกรรมอื่นๆ อีกมากมาย แม้จะมีการอ้างว่าถูกกำจัดไปเมื่อช่วงฤดูร้อนที่ผ่านมา แต่ดูเหมือนว่าพวกเขายังคงทำงานได้อย่างต่อเนื่อง

สิ่งที่เรารู้สำหรับ Qakbot

• แม้จะมีการทำลายโดย FBI ในช่วงฤดูร้อน แต่ Qakbot ไม่เคยถูกกำจัดอย่างแท้จริงหรืออาจจะกำจัดได้เพียงชั่วคราว
• Lumu ยืนยันมาตลอดว่า Qakbot ไม่เคยหยุดการทำงานเลย เราพบเห็น Qakbot ส่งผลกระทบต่อฐานลูกค้าของเราแม้หลังจากมีการประกาศปิดใช้งานในเดือนสิงหาคม
• Qakbot ดูเหมือนจะมุ่งเป้าไปที่หลากหลายอุตสาหกรรม แต่การเงิน การผลิต การศึกษา และรัฐบาล เป็นกลุ่มที่ได้รับผลกระทบมากที่สุดในฐานลูกค้าของเรา

Qakbot กลับมาพร้อมกับการปรับปรุงใหม่ที่ดีขึ้นเเละอันตรายยิ่งขึ้น

โครงสร้างพื้นฐาน C2 ถูกปิดใช้งานเป็นส่วนใหญ่ แต่ผู้ที่อยู่เบื้องหลังปฏิบัติการยังคงทำการอยู่

เพื่อให้การดำเนินงานดำเนินต่อไป พวกเขาได้สร้างและติดตั้งไบนารีเรียกใช้งานใหม่ และดูเหมือนว่าตอนนี้พวกเขาได้ปรับปรุงและปรับปรุงโครงสร้างพื้นฐานและไบนารีของตน

มัลแวร์ Qakbot ตัวใหม่ทำงานบนระบบ 64 บิต ใช้การเข้ารหัส AES สำหรับการสื่อสารเครือข่าย ซึ่งช่วยเพิ่มความสามารถในการหลีกเลี่ยงการตรวจจับและรักษาความปลอดภัยของกระบวนการแอบข้อมูล

นอกจากนี้ยังมีการพัฒนาเพื่อส่งคำขอ HTTP POST ไปยังเส้นทางเฉพาะ ซึ่งน่าจะเป็นวิธีการที่ใช้สำหรับการสื่อสารคำสั่งและควบคุม หรือสำหรับการแอบขโมยข้อมูล

ข้อเสนอแนะ

• เพิ่มการตรวจสอบเครือข่าย: ติดตั้งการประเมินความเสี่ยงต่อเนื่องเพื่อตรวจจับการสื่อสารใดๆ กับเซิร์ฟเวอร์ C2 ของ Qakbot ที่รู้จัก การตรวจสอบแบบเรียลไทม์นี้สามารถแจ้งเตือนคุณถึงการละเมิดหรือกิจกรรมของมัลแวร์ที่อาจเกิดขึ้น
• วางแผนการตอบสนองต่อเหตุการณ์: มีแผนการตอบสนองต่อเหตุการณ์ที่แข็งแกร่ง คุณสมบัติการจัดการเหตุการณ์ของ Lumu สามารถช่วยในการระบุและลดความเสี่ยงได้อย่างรวดเร็ว
• การเสริมสร้างความสามารถของ SecOps: ใช้ประโยชน์จากความสามารถของ SecOps เพื่อตรวจสอบและตอบสนองต่อภัยคุกคามอย่างQakbot แพลตฟอร์มของ Lumu สามารถมอบข้อมูลเชิงลึกที่มีค่าให้กับทีม SecOps เพื่อดำเนินการ
• การฝึกอบรมการรับรู้ของพนักงาน: ให้การศึกษาแก่พนักงานของคุณเกี่ยวกับความเสี่ยงของอีเมลฟิชชิง ซึ่งเป็นวิธีการป้องกัน Qakbot ทั่วไป ส่งเสริมการเฝ้าระวังในการเข้าชมหรือคลิกเข้าไปในลิ้งค์อีเมลที่น่าสงสัย
• การอัปเดตและการติดตั้งแพตช์เป็นประจำ: ตรวจสอบให้แน่ใจว่าระบบทั้งหมดได้รับการอัปเดตและติดตั้งแพตช์เป็นประจำเพื่อลดความเสี่ยงต่อช่องโหว่ที่ Qakbot อาจใช้ประโยชน์กับช่องโหว่ได้
• การป้องกันภัยคุกคามตามข้อมูล: ติดตามความคืบหน้าล่าสุดในกลยุทธ์และเทคนิคของ Qakbot ใช้ข้อมูลนี้เพื่อปรับปรุงกลยุทธ์และการป้องกันด้านความปลอดภัยทางไซเบอร์ของคุณ

**ขั้นตอนสำคัญในกลยุทธ์ด้านความปลอดภัยทางไซเบอร์คือการสร้างการมองเห็นภัยคุกคามที่ส่งผลอันตรายต่อตัวคุณ

อ้างอิง :Lumu