Qbot n’a besoin que de 30 minutes pour voler vos identifiants, e-mails

Qbot Trojan

Le logiciel malveillant répandu connu sous le nom de Qbot (alias Qakbot ou QuakBot) est récemment revenu aux attaques à la vitesse de la lumière et, selon les analystes, il ne faut qu’environ 30 minutes pour voler des données sensibles après l’infection initiale.

Selon un nouveau rapport du DFIR, Qbot effectuait ces frappes rapides de saisie de données en octobre 2021, et il semble maintenant que les acteurs de la menace derrière lui soient revenus à des tactiques similaires.

Plus précisément, les analystes rapportent qu’il faut une demi-heure aux adversaires pour voler les données du navigateur et les e-mails d’Outlook et 50 minutes avant de sauter sur un poste de travail adjacent.

La chronologie d’une attaque

Comme le montre le diagramme suivant, Qbot agit rapidement pour effectuer une escalade des privilèges immédiatement après une infection, tandis qu’une analyse de reconnaissance complète a lieu dans les dix minutes.

Chronologie d'une attaque QBot typique
Chronologie d’une attaque Qbot typique
Source : DFIR

L’accès initial est généralement réalisé via un document Excel (XLS) qui utilise une macro pour déposer le chargeur DLL sur la machine cible.

Cette charge utile s’exécute ensuite pour créer une tâche planifiée via le processus msra.exe et s’élève aux privilèges système.

De plus, le logiciel malveillant ajoute la DLL Qbot à la liste d’exclusion de Microsoft Defender, de sorte qu’elle ne sera pas détectée lors de l’injection dans msra.exe.

Commandes de découverte injectées dans msra.exe
Commandes de découverte injectées dans msra.exe
Source : DFIR

Le logiciel malveillant vole des e-mails une demi-heure après l’exécution initiale, qui sont ensuite utilisés pour des attaques de phishing en chaîne de relecture et pour être vendus à d’autres acteurs de la menace.

Qbot vole les informations d’identification Windows de la mémoire à l’aide des injections LSASS (Local Security Authority Server Service) et des navigateurs Web. Ceux-ci sont exploités pour un mouvement latéral vers d’autres appareils sur le réseau, initié en moyenne cinquante minutes après la première exécution.

Mouvement latéral QBot
Mouvement latéral Qbot
Source : DFIR

Réseau sur la pointe des pieds

Qbot se déplace latéralement vers tous les postes de travail de l’environnement analysé en copiant une DLL sur la cible suivante et en créant à distance un service pour l’exécuter.

Dans le même temps, l’infection précédente est effacée, de sorte que la machine dont les informations d’identification viennent d’être exfiltrées est désinfectée et semble normale.

De plus, les services créés sur les nouveaux postes de travail ont le paramètre ‘DeleteFlag’, ce qui entraîne leur suppression au redémarrage du système.

Services créés sur le poste cible
Services créés sur le poste cible
Source : DFIR

Le déplacement latéral s’effectue rapidement, donc s’il n’y a pas de segmentation du réseau pour protéger les postes de travail, la situation devient très difficile pour les équipes de défense.

En outre, les acteurs de la menace Qbot aiment souvent utiliser certains des systèmes compromis comme points proxy de premier niveau pour faciliter le masquage et la rotation des adresses, et utiliser plusieurs ports pour la communication SSL avec le serveur C2.

L’impact de ces attaques expéditives ne se limite pas à la perte de données, car Qbot a également été observé pour déposer des charges utiles de ransomware sur des réseaux d’entreprise compromis.

Un rapport Microsoft de décembre 2021 a capturé la polyvalence des attaques Qbot, ce qui rend plus difficile l’évaluation précise de l’étendue de ses infections.

Cependant, peu importe comment une infection Qbot se déroule précisément, il est essentiel de garder à l’esprit que presque tous commencent par un e-mail, c’est donc le principal point d’accès que les organisations doivent renforcer.

L’annonce d’aujourd’hui par Microsoft selon laquelle ils bloqueront les macros dans les documents téléchargés par défaut en supprimant les boutons « Activer le contenu » et « Activer l’édition » contribuera grandement à protéger les utilisateurs contre les attaques de phishing Qbot.