Site icon Sophos News

Nouveaux serveurs QakBot C2 détectés avec Sophos NDR

Qakbot

Alors que les malwares continuent d’évoluer et que les adversaires parviennent de mieux en mieux à échapper à la détection, les technologies dynamiques en matière d’IA et d’apprentissage automatique (Machine Learning) sont essentielles pour la détection des dernières menaces et attaques.

Sophos NDR utilise une série de modèles d’apprentissage automatique qui sont régulièrement mis à jour pour tenir compte de l’évolution des familles de malware. Cette approche permet à Sophos NDR d’identifier de nouvelles variantes de malware opérant secrètement au sein du réseau, même dans le trafic chiffré, qui peuvent tenter d’appeler des serveurs ‘Command and Control’ précédemment non identifiés.

Récemment, les mises à jour de Sophos NDR ont détecté deux nouveaux serveurs QakBot qui n’avaient pas encore été identifiés publiquement. Ces serveurs étaient utilisés par des acteurs malveillants pour gérer et contrôler les infections QakBot, un cheval de Troie (Trojan) bancaire actif depuis 2008 et ciblant principalement les institutions financières et leurs clients.

La détection de ces nouveaux serveurs QakBot met en évidence la menace permanente que constituent les chevaux de Troie bancaires et le besoin de capacités avancées en matière de détection et de réponse aux menaces. La détection par Sophos NDR des serveurs QakBot à l’aide de la technologie d’analyse de paquets chiffrés démontre l’importance de l’analyse du trafic chiffré pour identifier les menaces avancées.

La technologie d’analyse des paquets chiffrés (EPA : Encrypted Packet Analysis) de Sophos NDR permet de détecter les menaces potentielles sans s’appuyer sur le contenu déchiffré. Dans le tableau ci-dessous, vous pouvez voir les détails des deux serveurs QakBot récemment découverts, notamment la confiance du modèle EPA, la famille de malware détectée, les risques de flux et les informations TLS.

Detection IP Address Port EPA Model Confidence Malware Family Flow Risks TLS Info Virus Total Details Other
QakBot C2 Server 142.118.95.50 2222  99.014% QakBot, Qbot, Quakbot KNOWN_PROTOCOL_ON_NON_STANDARD_PORT
TLS_NOT_CARRYING_HTTPS
TLS_MISSING_SNI
TLS version 1.2
Cipher: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
JA3C: 72a589da586844d7f0818ce684948eea
JA3S: fd4bc6cea4877646ccd62f0792ec0b62
JARM: 21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21
https://www.virustotal.com/gui/ip-address/142.118.95.50/community Unpopular Destination
QakBot C2 Server 173.18.122.24 443 98.509% QakBot, Qbot, Quakbot TLS_NOT_CARRYING_HTTPS
TLS_MISSING_SNI
TLS version 1.2
Cipher: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
JA3C: 72a589da586844d7f0818ce684948eea
JA3S: fd4bc6cea4877646ccd62f0792ec0b62
JARM: 21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21
https://www.virustotal.com/gui/ip-address/173.18.122.24/community Unpopular Destination

Plusieurs groupes cybercriminels ont été associés à l’utilisation de QakBot par le passé. Parmi ces groupes, les plus importants sont :

Le modèle Sophos NDR EPA convertit les flux de paquets en images et utilise un réseau neuronal pour déterminer si l’image correspond à ce que nous attendons de QakBot.  Pour ceux qui s’intéressent au rendu final de ces images, vous trouverez des exemples ci-dessous.


Pour obtenir plus d’informations sur le produit Sophos NDR, veuillez consulter notre livre blanc concernant Sophos NDR.

Billet inspiré de New QakBot C2 servers detected with Sophos NDR, sur le Blog Sophos.

Exit mobile version