Regola della Settimana: Rilevamento Malware QakBot

Il trojan bancario QakBot (alias QBot) è stato utilizzato in attacchi a organizzazioni per oltre 10 anni, e i suoi autori monitorano continuamente le tendenze del panorama delle minacce aggiungendo nuove funzionalità o rimuovendole se non funzionano correttamente. Nel 2017, questo malware possedeva capacità simili a un worm ed era in grado di bloccare gli utenti di Active Directory per arrecare ulteriore danno alle organizzazioni. Nel 2019 gli avversari hanno utilizzato questo trojan in attacchi alle istituzioni governative statunitensi consegnandolo insieme al malware IcedID tramite Emotet. Inoltre, gli autori del malware hanno mantenuto le caratteristiche polimorfiche di QBot e hanno aggiunto nuovi vettori di infezione e meccanismi di persistenza multipli. Questo trojan viene solitamente diffuso tramite email di phishing con allegati dannosi.

Ora QakBot sta “aiutando” un nuovo giocatore sulla scena del ransomware – ProLock ransomware – a infettare le reti aziendali e hanno annunciato rumorosamente la loro alleanza alla fine di aprile con un attacco riuscito a Diebold Nixdorf. In passato, QakBot è stato utilizzato per distribuire il ransomware MegaCortex, poiché questo trojan ha le capacità e gli strumenti aggiuntivi di cui gli operatori di ransomware hanno bisogno per infettare server critici. La regola della comunità di Emir Erdogan si basa sugli ultimi indicatori di compromissione ed è in grado di rilevare questa infezione nella rete della tua organizzazione: https://tdm.socprime.com/tdm/info/8vslvqdm0uRX/IyHENnIBjwDfaYjK_ZeI/?p=1

Intervista con lo sviluppatore di contenuti: https://socprime.com/en/blog/interview-with-developer-emir-erdogan/

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black,Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Evasione di Difesa, Esecuzione, Accesso Iniziale, Escalation dei Privilegi, Persistenza

Tecniche: Code Signing (T1116), Esecuzione tramite Caricamento Modulo (T1129), Iniezione di Processo (1055), Attività Pianificata (1053)

Più contenuti per identificare questo malware:

Rilevamento del QBot/QakBot Trojan (Comportamento Sysmon) di Emir Erdogan – https://tdm.socprime.com/tdm/info/9aOw7wqzGVM7/R0Iyom4ByU4WBiCt_zvQ/

QakBot Detector (Sysmon) di SOC Prime – https://tdm.socprime.com/tdm/info/SK8nqjq4237M/Wm7wzGgBFVBAemBcdw4V/

Qakbot Malware Detector (Comportamento Sysmon) (27-Marzo-2020) di Lee Archinal – https://tdm.socprime.com/tdm/info/Gi5YxC2sRJEO/-EEHK3EBya7YkBmwnOoO/