![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Eigentlich war ja das Qakbot-Netzwerk von FBI & Co. im August 2023 in einer Beschlagnahmeaktion zerschlagen worden. Jetzt hat Microsoft aber wieder eine neue Qakbot-Phishing-Kampagne gesichtet, die auf das Gastgewerbe zielt. Es deutet sich an, dass die Qakbot-Mitglieder wieder versuchen, ins Gesch\u00e4ft zu kommen. Ich habe mal ein paar Informationen zusammen getragen.<\/p>\n
<\/p>\n
Die Infizierung eines mit dem Internet verbundenen Computers mit dem Trojaner geschieht \u00fcber E-Mail-Anh\u00e4nge oder Hyperlinks. Der infizierte Computer wird Teil eines Botnetzes, das \u00fcber eine Command-and-Control-Infrastruktur gesteuert und zur Verbreitung von Ransomware genutzt wird. <\/p>\n Qakbot liest Daten aus, l\u00e4dt weitere Schadsoftware nach und verschl\u00fcsselt Daten, um die Benutzer zu erpressen. 2022 umfasste das Botnetz \u00fcber 700.000 Systeme. Die Qakbot-Malware wurde f\u00fcr Ransomware-Angriffe und andere Cyberkriminalit\u00e4t eingesetzt, die bei Privatpersonen und Unternehmen in verschiedenen L\u00e4ndern Sch\u00e4den in H\u00f6he von mehreren hundert Millionen Euro verursachten. Qakbot wurde in den letzten Jahren von vielen Ransomware-Gruppen, darunter Conti, ProLock, Egregor, REvil, MegaCortex und Black Basta zur Infektion von Opfer-Systemen verwendet.<\/p>\n Zum 29.\/30. August 2023 teilten das Bundeskriminalamt und die Generalstaatsanwaltschaft mit, dass \"in einer international konzertierten Aktion unter Leitung der US-amerikanischen Beh\u00f6rden die in Deutschland befindliche Serverinfrastruktur der Schadsoftware Qakbot, auch als Qbot oder Pinkslipbot bekannt, \u00fcbernommen und zerschlagen\" wurde. Ich hatte im Blog-Beitrag FBI und Europol zerschlagen mit Partnern das Qakbot-Netzwerk<\/a> \u00fcber diese Aktion berichtet.<\/p>\n Laut dieser Meldung<\/a> des US-Justizministeriums verschafften sich die Strafverfolgungsbeh\u00f6rden ab dem 25. August 2023 Zugang zum Qakbot-Botnet. Anschlie\u00dfend leiteten die Spezialisten den Botnet-Verkehr zu Servern um, die von den Strafverfolgungsbeh\u00f6rden kontrolliert wurden. Dann wiesen sie die mit Qakbot infizierten gut 700.000 Computer an, eine Qakbot-Deinstallationsdatei herunterzuladen, die die Qakbot-Malware von dem infizierten Computer deinstallierte.<\/p>\n Microsoft hat nun neue Qakbot-Phishing-Kampagnen nach der St\u00f6rungsaktion der Strafverfolgungsbeh\u00f6rden vom August 2023 identifiziert. Die Kampagne begann am 11. Dezember 2023, war von geringem Umfang und zielte auf das Gastgewerbe ab, wie man auf X in nachfolgendem Tweet<\/a> schreibt. <\/p>\n Die Zielpersonen erhielten ein PDF von einem Benutzer, der sich als IRS-Mitarbeiter (ist die US-Steuerbeh\u00f6rde) ausgab. Die PDF-Datei enthielt eine URL, die einen digital signierten Windows Installer (.msi) herunterl\u00e4dt. Die Ausf\u00fchrung des MSI-Pakets f\u00fchrte dazu, dass Qakbot \u00fcber die Export-\"hvsi\"-Ausf\u00fchrung einer eingebetteten DLL aufgerufen wurde. Das MSI-Paket wurde mit dem SignerSha1\/Thumbprint 50e22aa4b3b145fe1193ebbabed0637fa381fac3 signiert.<\/p>\n Ein eingebetteter Konfigurations-EPOCH-Zeitstempel zeigt an, dass die Nutzlast am 11. Dezember erzeugt wurde. Der Kampagnencode war tchk06. Besonders bemerkenswert ist, dass die gelieferte Qakbot-Nutzlast mit der bisher unbekannten Version 0x500 konfiguriert war. 45[.]138.74.191 Microsoft Defender XDR erkennt die b\u00f6sartigen Komponenten und Aktivit\u00e4ten im Zusammenhang mit diesen neuen Qakbot-Kampagnen.<\/p>\n \u00c4hnliche Artikel:<\/strong> [English]Eigentlich war ja das Qakbot-Netzwerk von FBI & Co. im August 2023 in einer Beschlagnahmeaktion zerschlagen worden. Jetzt hat Microsoft aber wieder eine neue Qakbot-Phishing-Kampagne gesichtet, die auf das Gastgewerbe zielt. Es deutet sich an, dass die Qakbot-Mitglieder wieder versuchen, … Weiterlesen Qakbot<\/a>, auch als QBot oder Pinkslipbot bekannt, ist eine Malware-Familie, die seit 2007 bekannt bzw. aktiv ist. In der Vergangenheit war Qakbot als Banking-Trojaner bekannt, der Finanzdaten von infizierten Systemen stiehlt. Zudem fungierte Qakbot als Lader (Malware-Dropper), der Malware von C2-Servern auf die Opfersysteme herunterlud. Inzwischen hat sich Qakbot zu einer Schadsoftware entwickelt, die als eine der gef\u00e4hrlichsten weltweit gilt. <\/p>\n
Eigentlich war Qakbot zerschlagen<\/h2>\n
Microsoft sieht neue Kampagne<\/h2>\n
![\"Qakbot](\"https:\/\/i.postimg.cc\/FHqhHYxC\/image.png\"\/ "\\"Qakbot")
<\/a><\/p>\n
Beobachtetes Qakbot C2:<\/p>\n
65[.]108.218.24<\/p>\n
FBI und Europol zerschlagen mit Partnern das Qakbot-Netzwerk<\/a>
Trojaner Qakbot kommt \u00fcber pr\u00e4parierte Excel-Dateien<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"