22.05.2023 16:38

Aktuelle Qakbot/Pikabot-Welle in Österreich

Aktuell ist neben anderen Ländern auch Österreich wieder von einer Phishing/Malspam-Welle durch Qakbot/Pikabot betroffen.
Die aktuelle Kampagne läuft unter dem Namen BB28 und führt nach einer erfolgten Infektion zum Nachladen von Cobalt Strike und in weiterer Folge oft zu Ransomware - hier im Speziellen häufig BlackBasta.
Eine Besonderheit dieser Kampagne ist das Auftreten eines potentiellen Nachfolgers oder Mitstreiters von Qakbot namens Pikabot. Die Techniken, Taktiken und Prozeduren (TTPs) der Erstinfektion - Email (Thread-Hijacking) > URL > Javascript > Powershell > Payload (.dll) - gleichen aber denen von Qakbot [1].

Unter [2] wurde eine Methode veröffentlicht, welche es potentiell erlaubt bereits anhand der Email-Struktur dieser Kampagne schädliche Emails zu filtern.
Weiters wird empfohlen die C2-Adressen in [3][4][5][6][7][8][9][10] am Perimeter zu blockieren und zu monitoren.

Sollte eine Infektion festgestellt werden, gilt es die betroffenen Systeme rasch zu isolieren und im Anschluss neu aufzusetzen. Von einer Bereinigung ohne Neuinstallation der betroffenen Systeme wird abgeraten.

[1] https://twitter.com/Cryptolaemus1/status/1658844578865184772
[2] https://twitter.com/CloisterNunmonk/status/1658521085724196871 (Thread)
[3] https://github.com/pan-unit42/tweets/blob/master/2023-05-17-IOCs-for-Pikabot-with-Cobalt-Strike.txt
[4] https://github.com/executemalware/Malware-IOCs/blob/main/2023-05-15%20Qakbot%20(BB28)%20IOCs
[5] https://github.com/executemalware/Malware-IOCs/blob/main/2023-05-16%20Qakbot%20(BB28)%20IOCs
[6] https://github.com/executemalware/Malware-IOCs/blob/main/2023-05-22%20PikaBot%20IOCs
[7] https://github.com/pr0xylife/Qakbot/blob/main/Qakbot_BB28_Pikabot_17.05.2023.txt
[8] https://github.com/pr0xylife/Qakbot/blob/main/Qakbot_BB28_Pikabot_18.05.2023.txt
[9] https://github.com/pr0xylife/Qakbot/blob/main/Qakbot_BB29_Pikabot_22.05.2023.txt
[10] https://feodotracker.abuse.ch/blocklist/