Blitzkriegh, Serangan Kilat Ala Qbot

Malware yang tersebar luas yang dikenal sebagai Qbot alias Qakbot atau QuakBot baru-baru ini kembali ke mode serangan dengan kecepatan tinggi, dan menurut analis, hanya perlu sekitar 30 menit untuk mencuri data sensitif setelah infeksi awal.

Menurut laporan terbaru, Qbot melakukan serangan pengambilan data cepat ini pada Oktober 2021, dan sekarang tampaknya pelaku ancaman di belakangnya telah kembali menggunakan taktik serupa di tahun 2022.

Lebih khusus lagi, bahwa dibutuhkan setengah jam bagi pelaku untuk mencuri data browser dan email dari Outlook dan 50 menit sebelum mereka melompat ke workstation yang berdekatan.

Serangan Qbot

Dalam serangannya, Qbot bergerak cepat untuk melakukan eskalasi hak istimewa segera setelah infeksi berhasil dilakukan, sementara pemindaian pengintaian penuh berlangsung dalam sepuluh menit.

Akses awal untuk infeksi Qbot biasanya dicapai melalui email phising dengan serangan berbahaya, seperti dokumen Excel (XLS) yang menggunakan makro untuk menjatuhkan pemuat DLL pada mesin target.

Secara historis, kampanye phising Qbot menggunakan berbagai templat dokumen berbahaya. Misalnya, satu templat dokumen berpura-pura menjadi peringatan dari “Windows Defender Antivirus,” memberikan instruksi tentang mengaktifkan makro.

Saat diluncurkan, payload DLL Qbot akan disuntikkan dan diluncurkan ke aplikasi Windows yang sah untuk menghindari deteksi, seperti MSRA.exe dan Mobsync.exe. Misalnya, dalam analisis, Qbot menyuntikkan ke MSRA.exe dan kemudian membuat tugas terjadwal untuk peningkatan hak istimewa.

Selain itu, malware menambahkan Qbot DLL ke daftar pengecualian Microsoft Defender, sehingga tidak akan terdeteksi saat injeksi ke msra.exe terjadi.

Malware ini mencuri email dalam waktu setengah jam setelah eksekusi awal, yang kemudian biasanya digunakan untuk serangan phising replay-chain di masa mendatang.

Para peneliti mencatat bahwa Qbot juga akan mencuri kredensial Windows dengan membuang memori proses LSASS (Local Security Authority Server Service) dan dengan mencuri dari browser web. Kredensial ini kemudian dapat digunakan untuk menyebar ke perangkat lain di jaringan secara lateral.

Laporan DFIR menyatakan bahwa hanya dibutuhkan rata-rata lima puluh menit untuk kredensial dibuang setelah malware pertama kali dieksekusi.

Pergerakan lateral berlangsung dengan cepat, jadi jika tidak ada segmentasi jaringan untuk melindungi stasiun kerja, situasinya menjadi sangat menantang bagi tim pertahanan.

Dampak dari serangan cepat ini tidak terbatas pada kehilangan data, karena Qbot juga telah diamati di masa lalu ikut menyusupkan muatan ransomware ke jaringan perusahaan yang disusupi.

Geng Ransomware diketahui telah bermitra dengan Qbot untuk akses awal ke jaringan perusahaan termasuk REvil, Egregor, ProLock, dan MegaCortex.

Infeksi serbaguna

Laporan Microsoft dari Desember 2021 memahami bahwa serangan Qbot tidaklah sederhana, malware ini merupakan malware serba guna dalam serangannya, sehingga membuat lebih sulit untuk mengevaluasi cakupan infeksinya secara akurat.

Namun, tidak peduli bagaimana infeksi Qbot terungkap dengan tepat, penting untuk diingat bahwa hampir semua dimulai dengan email, jadi ini adalah titik akses utama yang perlu diperkuat oleh organisasi.

Pengumuman dari Microsoft bahwa mereka akan memblokir makro dalam dokumen yang diunduh secara default dengan menghapus tombol ‘Aktifkan Konten’ dan ‘Aktifkan Pengeditan’ akan sangat membantu melindungi pengguna dari serangan phising Qbot.