پایگاه دانش آلما / سیمانتک تاثیر عملیات برچیده شدن بات‌نت Qakbot بر دنیای امنیت سایبری و نقش Symantec در شناسایی این تهدید

تاثیر عملیات برچیده شدن بات‌نت Qakbot بر دنیای امنیت سایبری و نقش Symantec در شناسایی این تهدید

Qakbot برای اولین بار در سال ۲۰۰۷ ظاهر شد و در ابتدا به عنوان یک تروجان بانکی شناخته می‌شد. این بدافزار با گذر زمان، علاوه بر بهبود قابلیت‌های خود، به یکی از ماندگارترین تهدیدات سایبری تبدیل شد.
تاثیر عملیات برچیده شدن بات‌نت Qakbot بر دنیای امنیت سایبری و نقش Symantec در شناسایی این تهدید

در دنیای امروزی، تهدیدات سایبری به سرعت در حال گسترش و تکامل هستند و ابزارهای مخربی مانند بات‌نت‌ها نقش مهمی در حملات سایبری دارند. یکی از این بات‌نت‌های بزرگ و بدنام، Qakbot بوده است که به عنوان یکی از قدرتمندترین شبکه‌های توزیع بدافزار شناخته می‌شود. با توجه به پیشرفت فناوری و افزایش استفاده از فضای مجازی، Qakbot در طول سال‌ها به یکی از تهدیدات جدی برای سازمان‌ها و کاربران در سراسر جهان تبدیل شده بود. اما اخیراً با عملیات گسترده‌ای که توسط چندین نهاد بین‌المللی از جمله FBI و با مشارکت شرکت Symantec انجام شد، زیرساخت‌های این بات‌نت تا حد زیادی برچیده شد. در این مقاله به بررسی عملیات برچیدن Qakbot، تأثیر آن بر دنیای امنیت سایبری و نقش Symantec در این عملیات می‌پردازیم.

 

پیشینه‌ای از Qakbot

Qakbot برای اولین بار در سال ۲۰۰۷ ظاهر شد و در ابتدا به عنوان یک تروجان بانکی شناخته می‌شد. این بدافزار با گذر زمان، علاوه بر بهبود قابلیت‌های خود، به یکی از ماندگارترین تهدیدات سایبری تبدیل شد. یکی از ویژگی‌های کلیدی Qakbot توانایی آن در گسترش در شبکه‌های سازمانی بود. پس از آلوده‌سازی یک سیستم، Qakbot با استفاده از تکنیک‌های پیچیده مانند استفاده از پروتکل SMB و بهره‌برداری از حساب‌های کاربری Active Directory، قادر بود به سرعت در سراسر شبکه گسترش یابد. این قابلیت‌ها باعث شد که Qakbot نه تنها برای کاربران فردی بلکه برای سازمان‌ها و شرکت‌ها نیز تهدید جدی باشد.

 

Qakbot عمدتاً از طریق ایمیل‌های اسپم منتشر می‌شد. این ایمیل‌ها معمولاً شامل پیوست‌های مخرب یا لینک‌هایی به فایل‌های بدافزار بودند. عناوین ایمیل‌ها معمولاً موضوعات فریبنده‌ای مانند اطلاعات مربوط به سفارشات، فاکتورها، درخواست‌های فوری و یا به‌روزرسانی‌های مربوط به حمل‌ونقل را شامل می‌شدند که کاربران را ترغیب به باز کردن ایمیل می‌کرد.

 

نقش Symantec در شناسایی Qakbot

Symantec که اکنون بخشی از Broadcom است، یکی از اولین نهادهایی بود که این بدافزار را شناسایی و آن را با گروه جرایم سایبری موسوم به "Batbug" مرتبط کرد. Symantec به عنوان یک رهبر در زمینه امنیت سایبری، در طول سال‌ها با تحلیل‌های دقیق خود درباره Qakbot، به بسیاری از شرکت‌ها و سازمان‌ها در محافظت از شبکه‌های خود کمک کرده است. طبق تحلیل‌های Symantec، Qakbot به مرور زمان توانایی‌های خود را بهبود بخشیده و از یک تروجان بانکی به یک ابزار چندمنظوره برای جرایم سایبری تبدیل شده بود.

 

یکی از مهم‌ترین مشاهدات Symantec درباره Qakbot این بود که این بدافزار با چندین عملیات بزرگ باج‌افزاری مانند Sodinokibi، Egregor، ProLock، و MountLocker همکاری داشته است. Qakbot نقش مهمی در ارائه دسترسی اولیه به شبکه‌های قربانی برای این عملیات‌ها ایفا می‌کرد و به همین دلیل به یکی از ابزارهای مورد علاقه مجرمان سایبری تبدیل شده بود.

 

افزایش فعالیت‌های Qakbot و استفاده از تکنیک‌های جدید

از اوایل سال ۲۰۲۳، Qakbot به طور قابل توجهی فعالیت خود را افزایش داد. یکی از تکنیک‌های جدیدی که توسط این بدافزار مورد استفاده قرار گرفت، بهره‌برداری از فایل‌های Microsoft OneNote بود. OneNote که به طور پیش‌فرض در تمام نصب‌های Microsoft Office/365 وجود دارد، حتی اگر کاربر از آن استفاده نکند، همچنان می‌تواند فایل‌های آن را باز کند. ایمیل‌های مخرب شامل یک لینک به فایل ZIP بودند که حاوی یک فایل OneNote آلوده بود. با اجرای این فایل، یک فایل HTML Application (HTA) اجرا می‌شد که در نهایت به دانلود یک DLL از Qakbot منجر می‌شد.

 

Symantec همچنین اشاره کرد که در یکی از حملات اخیر Qakbot، ممکن است دسترسی اولیه از طریق تبلیغات مخرب (Malvertising) انجام شده باشد. در این حمله، قربانی از طریق مرورگر Chrome به یک وب‌سایت مخرب هدایت شد که منجر به دانلود بدافزار شد. این حملات نشان‌دهنده تلاش‌های مداوم مجرمان برای تغییر تاکتیک‌ها و استفاده از روش‌های جدید برای جلوگیری از شناسایی توسط سیستم‌های امنیتی بود.

 

عملیات برچیده شدن Qakbot

در نهایت، در یک عملیات بین‌المللی گسترده، Qakbot دچار ضربه‌ای جدی شد. این عملیات که توسط FBI و با همکاری نهادهایی از فرانسه، آلمان، هلند، بریتانیا، رومانی و لتونی انجام شد، زیرساخت‌های این بات‌نت را هدف قرار داد و منجر به حذف بدافزار از بیش از ۷۰۰ هزار سیستم آلوده شد. FBI با دستیابی به زیرساخت‌های Qakbot، ترافیک این بات‌نت را به سرورهایی که تحت کنترل خود بودند، هدایت کرد و به این ترتیب توانست ابزاری برای حذف Qakbot از سیستم‌های آلوده توزیع کند.

 

در این عملیات، همچنین ۸.۶ میلیون دلار ارز دیجیتال که به نظر می‌رسد از طریق فعالیت‌های مجرمانه به دست آمده بود، توقیف شد. این موفقیت نشان‌دهنده توانایی‌های فناوری و همکاری بین‌المللی در مقابله با تهدیدات پیچیده سایبری مانند Qakbot است.

 

تأثیر برچیده شدن Qakbot بر دنیای جرایم سایبری

Qakbot سال‌ها یکی از ابزارهای کلیدی برای گروه‌های بزرگ باج‌افزاری و مجرمان سایبری بود. این بات‌نت توانست به یکی از پرکاربردترین شبکه‌های توزیع بدافزار تبدیل شود و حذف آن ضربه‌ای جدی به گروه Batbug و دیگر گروه‌های مجرم وارد کرد. با این حال، کارشناسان امنیت سایبری هشدار می‌دهند که این عملیات تنها یک گام در مسیر طولانی مبارزه با جرایم سایبری است. اگرچه زیرساخت‌های Qakbot به طور قابل توجهی آسیب دیده‌اند، اما احتمال بازسازی این شبکه یا ظهور بدافزارهای مشابه وجود دارد.

 

Symantec به عنوان یکی از شرکت‌های پیشرو در زمینه امنیت سایبری، نقش مهمی در شناسایی و تحلیل این تهدید ایفا کرد و به نهادهای مختلف در مبارزه با آن کمک کرد. تجربه‌های کسب شده از این عملیات می‌تواند به تقویت روش‌های دفاعی و بهبود سیستم‌های امنیتی کمک کند.

 

عملیات برچیدن Qakbot یکی از بزرگترین موفقیت‌های اخیر در حوزه امنیت سایبری بود و تأثیرات مثبتی بر کاهش فعالیت‌های جرایم سایبری داشت. این عملیات نه تنها نشان داد که همکاری بین‌المللی می‌تواند به طور مؤثری با تهدیدات پیچیده مقابله کند، بلکه اهمیت تحلیل‌ها و فناوری‌های پیشرفته‌ای مانند آنچه که Symantec ارائه می‌دهد، را نیز برجسته کرد. با وجود این موفقیت، جهان امنیت سایبری همچنان باید آماده باشد تا با تهدیدات جدید و تغییرپذیر روبرو شود.

بازخوردها
    مطالب مرتبط