Nouvelles Techniques de QakBot

Le cheval de Troie bancaire QBot, également connu sous le nom de Qakbot ou Pinkslipbot, est connu des chercheurs en cybersécurité depuis 2008 et continue de tromper les entreprises avec des campagnes émergentes démontrant ses capacités furtives élaborées.

Une autre campagne de phishing livrant le document malveillant a attiré l’attention des chercheurs. La dernière attaque QakBot se distingue par la livraison d’un fichier ZIP avec un document, et non une pièce jointe de document Microsoft Word. Le document compressé inclut une macro exécutant un script PowerShell qui à son tour télécharge la charge utile QakBot depuis l’URL prédéfinie. 

Nous avons déjà averti nos lecteurs à propos du rusé cheval de Troie QakBot dans le post Règle de la Semaine. https://socprime.com/blog/rule-of-the-week-qbot-trojan-detection/

Aujourd’hui, nous souhaitons vous informer que les attaquants ont ajouté deux techniques à leur arsenal – contournement de la technologie CDR (désarmement et reconstruction de contenu), ainsi que le contournement de la détection du schéma parent-enfant.

Osman Demir, participant actif du Threat Bounty Developer Program a publié une règle Sigma pour détecter le cheval de Troie QakBot modernisé :

https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType[]=name&searchSubType=&searchQueryFeatures=false&searchValue=qakbat+maldoc+campaign+two+new+techniques

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution

Techniques : Interface en ligne de commande (T1059), PowerShell (T1059), Exécution par l’utilisateur (T1204)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.