新たなQakBotの手法

QBotバンカートロイの木馬はQakbotまたはPinkslipbotとしても知られており、2008年以来サイバーセキュリティ研究者に知られていますが、その巧妙なステルス能力を示す新たなキャンペーンによってビジネスをだまし続けています。

悪意のあるドキュメントを配信する別のフィッシングキャンペーンが研究者の注意を引きました。最新のQakBot攻撃は、Microsoft Wordドキュメントの添付ファイルではなく、ZIPファイルとしてドキュメントを配信する点で注目に値します。この圧縮ドキュメントにはマクロが含まれており、PowerShellスクリプトを実行して事前定義されたURLからQakBotペイロードをダウンロードします。

私たちはすでに、「今週のルール」投稿で策士のQakBotトロイの木馬について読者に警告しました。 https://socprime.com/blog/rule-of-the-week-qbot-trojan-detection/

本日、攻撃者がその武器庫に2つの技術 – CDR（コンテンツ解体と再構築）技術の回避、および親子パターン検出の回避 – を追加したことをお知らせしたいと思います。

オスマン・デミル、Threat Bounty Developer Programの活発な参加者が最新のQakBotトロイの木馬を検出するためのSigmaルールを公開しました：

https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType[]=name&searchSubType=&searchQueryFeatures=false&searchValue=qakbat+maldoc+campaign+two+new+techniques

このルールは以下のプラットフォームの翻訳が含まれています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 実行

技術: コマンドラインインターフェース（T1059）、 PowerShell（T1059）、ユーザー実行（T1204）

SOC Prime TDMを試す準備ができましたか？ 無料で登録。 または Threat Bounty Programに参加して 独自のコンテンツを作成し、TDMコミュニティと共有しましょう。