Detecting QakBot Malware Campaign Leading to Black Basta Ransomware Infections

ランサムウェアは世界中のセキュリティ防御者にとって重要な脅威を与える最大の脅威であり、その 攻撃傾向は2021年から2022年にかけて絶えず増加しています。最近、セキュリティ専門家は、アメリカを拠点とするベンダーをますます狙う大規模なQakBotマルウェアキャンペーンを明らかにしました。ブラックバスタランサムウェアを配信します。  攻撃傾向は2021-2022年を通じて絶えず増加しています。最近、セキュリティ専門家は、アメリカを拠点にするベンダーをますます標的にする大規模なQakBotマルウェアキャンペーンを明らかにし、ブラックバスタランサムウェアを配信しています。 

2022年11月の最後の10日間に、アメリカの少なくとも10の企業が一連の攻撃の犠牲になりました。すべてのケースで、QakBot（別名QBotまたはPinkslipbot）は、標的となるインフラストラクチャの持続性を維持するために悪意のあるストレインに依存するBlack Bastaオペレーターの初期のエントリーポイントとして機能します。 

QakBotマルウェアを使用してBlack Bastaランサムウェア感染を検出する

比較的新しい Black Basta RaaSリングがその兵器庫を拡張し、新しいカスタムツールと手法でそれを豊富にしているため、サイバーセキュリティの専門家は、そのような規模と影響のランサムウェア攻撃を阻止するために、関連する防御能力を適時に備えるべきです。SOC PrimeのDetection as Codeプラットフォームは、熱心なThreat Bounty開発者によるSigmaルールのセットを集約しています。 オスマン・デミル and ザウ・ミン・フザン QakBotを感染に依存しているBlack Bastaランサムウェアを検出します。 

可能性のあるBlack-Basta攻撃 [QakBot] （2022年11月）プロセス作成を介した関連プロセスの検出による横方向の移動アクティビティ

このルールは、rundll32.exe SetVolumeコマンドでのCobalt Strikeペイロードの実行を検出します。検出は、20のSIEM、EDRおよびXDRプラットフォームへの翻訳をサポートしており、 MITRE ATT&CK®フレームワーク に関連付けられたサインドバイナリープロキシ実行 (T1218) 技術とともに、Defense Evasion戦術に取り組んでいます。

疑わしい攻撃的なQakbotキャンペーン実行：関連コマンドの検出 [米国企業を標的に] （powershellを介して）

上記のルールは、System.DirectoryServices.DirectorySearcher クラスを使用して Active Directory Domain Services に対して情報を照会するために最新のQakBotキャンペーンで使用されたPowerShellに関連する悪意のある行動を検出します。この検出は、13のSIEM、EDRおよびXDRプラットフォームへの翻訳をサポートしており、MITRE ATT&CKフレームワークに関連するPowerShell (T1086) およびコマンドとスクリプト インタープリター (T1059) 技法で実行戦術に取り組んでいます。

自分のDetection EngineeringとThreat Huntingのスキルを充実させようとする熟練したサイバーセキュリティの専門家は、 Threat Bounty Program に参加して、集団的な業界専門知識に対する彼ら自身の貢献を行えます。プログラムに参加することで、検出コンテンツの著者は彼らの専門スキルを収益化しつつ、安全なデジタル未来の構築を支援することができます。 

急速に進化するBlack BastaランサムウェアとQakBotマルウェア攻撃に対応するために、セキュリティチームは、以下のボタンをクリックしてSOC Primeのプラットフォームで利用可能な関連する全Sigmaルールコレクションを活用できます。

QakBot検出を探る Black Basta検出を探る

Black BastaランサムウェアギャングによるQakBotマルウェアキャンペーンの分析

最新の 調査 によると、Cybereasonによる QakBot は、米国企業に対するBlack Basta攻撃の際の初期エントリーポイントとして機能します。攻撃は通常、悪意のあるディスクイメージファイルを含むスパムまたはフィッシングメールから始まります。ファイルが開かれると、QakBotの実行がトリガーされ、リモートサーバーからCobalt Strikeペイロードを取得します。 

次の段階では、マルウェアは資格情報の収集と横方向の移動活動を行い、収集されたログインデータでできるだけ多くのエンドポイントを侵害することを目指します。最後に、Black Bastaランサムウェアペイロードが標的のネットワークに落とされます。 

注目すべきは、観察された攻撃のいくつかでは、キャンペーンの運営者が被害者をネットワークから隔離するためにDNSサービスを無効にして行われ、回復プロセスをほぼ不可能にしました。 

今回が初めてではありません Black BastaのメンテナーがQakBotを利用して 悪意のある行動を実行します。2022年10月、ランサムウェアギャングがQakBotを利用して Brute Ratel C4フレームワーク を配信し、Cobalt Strikeを落とすために活用されました。最新の一連のサイバー攻撃は、QakBot操作が攻撃フレームワークをインストールし、さまざまな攻撃者にアクセスを販売するよう改良されたことを示しています。 

急速に増加しているランサムウェア攻撃数を考慮するに、積極的な検出は組織のサイバーセキュリティ姿勢を強化する鍵です。現在および新たに現れるランサムウェア攻撃を特定するために650以上のSigmaルールを入手し、常に敵より一歩先に進んでください。 ここで 30以上のルールを無料で手に入れる またはOn Demandで全検出スタックを取得する http://my.socprime.com/pricing.