حملات Qbot به دایرکتوری‌های فعال

دانلود PDF

به‌تازگی بدافزاری مخرب موجب ازکارافتادن دایرکتوری‌های فعال (Active Directory) در بسیاری از سازمان‌ها شده است.

به گزارش خبرنگار حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان؛ پژوهشگران امنیتی شرکت IBM درباره بدافزاری مخرب هشدار دادند. این بدافزار از طریق بدافزار بانکی Qbot سازمان‌ها و ادارات متعددی را تحت تأثیر قرار داده است.

محققان متوجه صدها تا هزاران پیام از سوی کاربران شدند که آن‌ها اظهار کرده بودند که دایرکتوری‌های فعال‌شان بی‌دلیل غیرفعال شده است‌. درنتیجه این موضوع موجب شده تا کاربران به سرور شرکت و شبکه خود دسترسی پیدا نکنند.

ظاهراً این مشکل در سازمان‌های متعددی رخ‌داده و این موضوع تقصیر بدافزار بانکی Qbot است. بدافزار Qbot به نام‌های دیگری چون (Qakbot، Quakbotو PinkSlip) نیز شناخته شده است. بدافزارهای مالی برای هدف قرار دادن کسب‌وکارها و سرقت پول‌های بانک طراحی‌شده‌اند.

بدافزار Qbot از طریق درایورهای اشتراکی و رسانه‌های ذخیره‌سازی جداشدنی، خود را مانند کرم گسترش می‌دهد.
در سال 2009 کشف شد که بدافزارها پیشرفت‌های متعددی در طول زمان پیدا کرده‌اند. اما یکی از متخصصان آی.بی.ام اظهار کرد، این اولین باری است که تیم امنیتی ما مشاهده کرده که بدافزار Qbot از طریق دایرکتوری‌های فعال برای سازمان‌های مختلف مشکل‌آفرینی کرده است. به نظر می‌رسد تمرکز این بدافزار بر روی کمپین‌های فعلی در ایالات‌متحده، کسب‌وکار خدمات بانکی ازجمله خزانه شرکت بانکداری و بانکداری تجاری است.
از دیگر نکات مهم درباره این بدافزار، تهدیدات چندمنظوره آن است. به‌عنوان‌مثال این بدافزار اقدام به سرقت اطلاعات بانکی کاربران از طریق یک در پشتی و ایجاد (SOCKS proxy) کرده است.

در این حمله اخیر، که دایرکتوری‌ها را هدف قرار می‌دهد سه اقدام مشاهده می‌شود، اول: صدها تا هزار حساب کاربری را به‌سرعت و با موفقیت قفل می‌کند؛ دوم: به‌صورت خودکار در دفعات مختلف وارد حساب کاربری افراد می‌شود؛ سوم: فایل‌های اجرایی مخرب را در قسمت اشتراکی شبکه ثبت می‌کند.

با توجه به دوره‌های طولانی عدم فعالیت این بدافزار، Qbot در فهرست خانواده فعال‌ترین نرم‌افزارهای مخرب قرار دارد، باوجوداینکه یکی از قدیمی‌ترین تهدیدات در آن رده است.