QBotバンカートロイの木馬はQakbotまたはPinkslipbotとしても知られており、2008年以来サイバーセキュリティ研究者に知られていますが、その巧妙なステルス能力を示す新たなキャンペーンによってビジネスをだまし続けています。
悪意のあるドキュメントを配信する別のフィッシングキャンペーンが研究者の注意を引きました。最新のQakBot攻撃は、Microsoft Wordドキュメントの添付ファイルではなく、ZIPファイルとしてドキュメントを配信する点で注目に値します。この圧縮ドキュメントにはマクロが含まれており、PowerShellスクリプトを実行して事前定義されたURLからQakBotペイロードをダウンロードします。
私たちはすでに、「今週のルール」投稿で策士のQakBotトロイの木馬について読者に警告しました。 https://socprime.com/blog/rule-of-the-week-qbot-trojan-detection/
本日、攻撃者がその武器庫に2つの技術 – CDR(コンテンツ解体と再構築)技術の回避、および親子パターン検出の回避 – を追加したことをお知らせしたいと思います。
オスマン・デミル、Threat Bounty Developer Programの活発な参加者が最新のQakBotトロイの木馬を検出するためのSigmaルールを公開しました:
このルールは以下のプラットフォームの翻訳が含まれています:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
戦術: 実行
技術: コマンドラインインターフェース(T1059)、 PowerShell(T1059)、ユーザー実行(T1204)
SOC Prime TDMを試す準備ができましたか? 無料で登録。 または Threat Bounty Programに参加して 独自のコンテンツを作成し、TDMコミュニティと共有しましょう。
