미국은 70만 대의 컴퓨터에 영향을 미친 QakBot 봇넷을 해체했습니다.

QakBot(QBot, Pinkslipbot 등으로도 알려짐)은 2007년 뱅킹 트로이목마로 활동을 시작한 후 감염된 시스템에 랜섬웨어를 포함한 악성코드를 배포하는 플랫폼으로 변모했습니다. QakBot의 랜섬웨어 변종으로는 Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta 등이 있습니다. QakBot을 조종하는 세력은 2021년 10월부터 2023년 4월까지 피해자들로부터 약 5,800만 달러의 몸값을 갈취한 것으로 추정됩니다.

주로 피싱 이메일을 통해 유포되는 이 모듈형 악성코드는 명령어를 실행하고 정보를 수집하는 기능을 갖추고 있습니다. QakBot은 등장 이후 지속적으로 업데이트되어 왔습니다. 미국 법무부는 이 악성코드에 감염된 컴퓨터들이 봇넷의 일부이며, 공격자들이 감염된 모든 컴퓨터를 원격으로 조직적으로 제어할 수 있다고 밝혔습니다.

법원 문서에 따르면, 해당 작전은 QakBot 인프라에 접근하여 FBI가 관리하는 서버를 통해 봇넷 트래픽을 리디렉션함으로써 범죄 공급망을 차단하는 것을 최종 목표로 삼았습니다. 이 서버들은 감염된 컴퓨터들에게 QakBot 봇넷에서 해당 컴퓨터를 제거하는 언인스톨러를 다운로드하도록 지시하여, 추가적인 악성코드 구성 요소의 배포를 효과적으로 차단했습니다.

QakBot은 시간이 지남에 따라 점점 더 정교해지며 새로운 보안 조치에 맞춰 전술을 빠르게 변경해 왔습니다. 마이크로소프트가 모든 오피스 애플리케이션에서 매크로 기능을 기본적으로 비활성화한 후, 이 악성 프로그램은 올해 초부터 OneNote 파일을 감염 매개체로 사용하기 시작했습니다.

QakBot의 정교함과 적응성은 PDF, HTML, ZIP 등 다양한 파일 형식을 공격 수단으로 활용하는 데서 드러납니다. 이 악성코드의 명령 및 제어 서버는 대부분 미국, 영국, 인도, 캐나다, 프랑스에 위치하고 있으며, 지원 인프라는 러시아에 있는 것으로 추정됩니다.

QakBot은 Emotet 및 IcedID와 마찬가지로 3단계 서버 시스템을 사용하여 감염된 컴퓨터에 설치된 악성 프로그램을 제어하고 통신합니다. 1단계 및 2단계 서버의 주요 목적은 감염된 컴퓨터와 봇넷을 제어하는 ​​3단계 서버 간의 암호화된 통신을 전달하는 것입니다.

2023년 6월 중순 기준으로 63개국에서 853개의 1단계 서버가 확인되었으며, 2단계 서버는 메인 제어 서버를 숨기는 프록시 역할을 했습니다. Abuse.ch에서 수집한 데이터에 따르면 현재 모든 QakBot 서버는 오프라인 상태입니다.

HP Wolf Security에 따르면 QakBot은 2023년 2분기에 18개의 공격 체인과 56개의 캠페인을 기록하며 가장 활발하게 활동한 멀웨어 패밀리 중 하나였습니다. 이는 범죄 조직들이 불법적인 이득을 위해 사이버 보안 시스템의 취약점을 신속하게 악용하려는 추세를 보여줍니다.