Nuove Tecniche QakBot

Il trojan bancario QBot, noto anche come Qakbot o Pinkslipbot, è conosciuto dai ricercatori di cybersecurity dal 2008 e continua a ingannare le imprese con campagne emergenti che dimostrano le sue elaborate capacità di invisibilità.

Un’altra campagna di phishing che distribuisce il documento malevolo ha attirato l’attenzione dei ricercatori. L’ultimo attacco QakBot è degno di nota per la distribuzione di un file ZIP con un documento, non un allegato di documento Microsoft Word. Il documento zippato include una macro che esegue uno script PowerShell che a sua volta scarica il payload QakBot dall’URL predefinito. 

Abbiamo già avvisato i nostri lettori del subdolo trojan QakBot nel post Regola della Settimana. https://socprime.com/blog/rule-of-the-week-qbot-trojan-detection/

Oggi, vogliamo informarvi che gli attaccanti hanno aggiunto due tecniche al loro arsenale – bypass della tecnologia CDR (content disarm and reconstruction), così come il bypass del rilevamento del pattern genitore-figlio.

Osman Demir, partecipante attivo del Threat Bounty Developer Program ha pubblicato una regola Sigma per rilevare il trojan QakBot modernizzato:

https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType[]=name&searchSubType=&searchQueryFeatures=false&searchValue=qakbat+maldoc+campaign+two+new+techniques

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Esecuzione

Tecniche: Interfaccia a linea di comando (T1059), PowerShell (T1059), Esecuzione Utente (T1204)

Sei pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Programma Threat Bounty per creare i tuoi contenuti e condividerli con la comunità TDM.