Neue QakBot-Techniken

Der QBot-Banking-Trojaner, der auch als Qakbot oder Pinkslipbot bekannt ist, ist seit 2008 den Cybersicherheitsforschern bekannt und täuscht weiterhin die Geschäftsleute mit neuen Kampagnen, die seine elaborierten Stealth-Fähigkeiten demonstrieren.

Eine weitere Phishing-Kampagne, die das bösartige Dokument verbreitet, hat die Aufmerksamkeit der Forscher auf sich gezogen. Der neueste QakBot-Angriff ist bemerkenswert, da er eine ZIP-Datei mit einem Dokument liefert, aber kein Microsoft Word-Dokument-Anhang. Das gezippte Dokument enthält ein Makro, das ein PowerShell-Skript ausführt, das wiederum die QakBot-Nutzlast von der vordefinierten URL herunterlädt. 

Wir haben unsere Leser bereits in dem Beitrag der Woche über den listigen QakBot-Trojaner gewarnt. https://socprime.com/blog/rule-of-the-week-qbot-trojan-detection/

Heute möchten wir Sie darüber informieren, dass die Angreifer zwei Techniken zu ihrem Arsenal hinzugefügt haben – die Umgehung der CDR-Technologie (Content Disarm and Reconstruction) sowie die Umgehung der Erkennung des Kind-Eltern-Musters.

Osman Demir, aktives Mitglied des Threat Bounty Developer Programms hat eine Sigma-Regel veröffentlicht, um den modernisierten QakBot Trojaner zu erkennen:

https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType[]=name&searchSubType=&searchQueryFeatures=false&searchValue=qakbat+maldoc+campaign+two+new+techniques

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Ausführung

Techniken: Befehlszeilenschnittstelle (T1059), PowerShell (T1059), Benutzer-Ausführung (T1204)

Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden. Oder am Threat Bounty Program teilnehmen um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.