freshidea - stock.adobe.com

Menaces cyber : Qakbot est de retour

Le botnet Qakbot avait subi un coup majeur à la fin de l’été, lors d’une importante opération judiciaire internationale. Mais sans surprise, il vient de commencer à faire son retour.

Les équipes de renseignement sur les menaces de Microsoft n’ont pas traîné pour lancer l’alerte, ce samedi 16 décembre : Qakbot est de retour. 

La campagne observée a commencé le 11 décembre et vise, pour l’heure, le secteur de l’hôtellerie : « la cible reçoit un formulaire PDF d’une personne se faisant passer pour un employé de l’IRS », le fisc américain. 

La chaîne de compromission est simple : le PDF contient une adresse Web qui mène à un installateur Windows signé « Software Agility Limited », un fichier MSI, explique Germán Fernández, chercheur chez CronUp. C’est par là que s’invite Qakbot. 

Deux serveurs de commande et de contrôle (C2) avaient initialement été identifiés à partir des échantillons obtenus. Depuis, plusieurs autres C2 ont été débusqués. 

Germán Fernández relève que le modèle PDF utilisé pour cette première campagne du Qakbot nouveau est le même que celui d’une toute récente campagne d’un maliciel comparable, Pikabot.

Une demi-surprise seulement : tous deux sont utilisés en début de chaîne cinétique d’attaque. Sur Twitter, HarfangLab vient justement d’alerter sur Pikabot, évoquant une cyberattaque bloquée par son EDR, chez l’un de ses clients : « les opérateurs malveillants utilisent le cheval de Troie Pikabot comme charge initiale, puis déploient CobaltStrike ». Et d’indiquer associer l’activité constatée avec BlackBasta. 

Dans la nuit du 25 au 26 août, les autorités de l’Allemagne, des États-Unis, de la France, de la Lituanie, des Pays-Bas, de la Roumanie, et du Royaume-Uni avaient lancé une vaste offensive contre Qakbot.

Le FBI avait réussi à « prendre le contrôle de Qakbot », pour en rediriger le trafic vers des serveurs gérés par le FBI. De là, « sur les systèmes informatiques infectés, le logiciel malveillant Qakbot a ensuite été supprimé par une mise à jour ». 

Les spécialistes du renseignement sur les menaces étaient toutefois formels : Qakbot n’est pas mort ; il n’a été que temporairement affaibli. Un peu comme l’avait été Emotet fin janvier 2021

Pour approfondir sur Menaces, Ransomwares, DDoS