トランプをテーマにしたスパムキャンペーンで配布される新しいQRATの変種

サイバー犯罪者は、常に「最も注目されている」メディアの話題を利用して被害者を誘い、マルウェアに感染させようとします。今回は、ハッカーが米国大統領選挙への関心の高まりを利用して、ドナルド・トランプをテーマにしたスパムキャンペーンを展開しました。この作戦の最終目的は、QNodeと呼ばれる最新のQRATトロイの木馬型マルウェアの変種を配布することです。前身と同様に、QNodeはパスワードのダンプ、ユーザーの機密データの抽出、被害者のマシンを遠隔で制御することができます。

QRATマルウェアとは？

Quaverseリモートアクセス型トロイの木馬（QRAT）は初めに 登場 したのは2015年5月で、非常に難読化されたJavaベースのマルウェアとして、ダークウェブで「マルウェア・アズ・ア・サービス」（MaaS）スキームを通じて宣伝されました。このトロイの木馬は通常、Javaアーカイブ（JAR）添付ファイルの形でフィッシング詐欺によって配布されます。ダウンロードされた場合、JARファイルはNode.JSのセカンドステージローダを取得し、最終的なペイロードの永続性と実行を担当します。メインペイロードもNode.Jsで書かれており、そのコードモジュールはAllatoriオブスクエーターを使用して難読化され、検出を回避します。注目すべきは、QRATダウンローダーはWindows環境だけを攻撃できることです。しかし、Node.Jsの構成から、新しいクロスプラットフォームの変種がすぐに登場する可能性があることが示唆されています。 

QRATトロイの木馬の悪質なアーセナルは非常に印象的です。特に、このマルウェアはシステムアプリケーションからパスワードをダンプし、スクリーンショットを撮り、キーロギングを実行し、ファイルの閲覧を行うことができます。その結果、攻撃者は対象のマシンに完全なアクセス権を得て、広範な機密データを取得することができます。 

QNodeのマルスパムキャンペーン 

セキュリティ研究者は フィッシングキャンペーンの急増を観察しています、それはQRATマルウェア感染を狙ったものです。注目されている最新のフィッシングオペレーションは非常に興味深いものです。攻撃は「良いローンオファー!!」という件名のフィッシングメールから始まります。典型的な投資詐欺のように見えますが、添付ファイルはこのテーマとは全く関係ありません。特に、「TRUMP_SEX_SCANDAL_VIDEO」と名付けられており、米国大統領の目立った話題を利用する意図があると推測されます。ダウンロードされた場合、悪意のあるファイルは被害者のPCに最新のQRAT変種であるQNodeを感染させます。 a significant surge in phishing campaigns aimed at QRAT malware infection. The latest phishing operation in the spotlight is quite interesting. The attack starts with a phishing email that has the subject line “GOOD LOAN OFFER!!.” Although it looks like a typical investment scam, the attached file is completely unrelated to this topic. Particularly, it is named as “TRUMP_SEX_SCANDAL_VIDEO,” presumably in an attempt to exploit the noticeable hype surrounding the outgoing US President. In case downloaded, the malicious file infects victims’ PCs with QNode, the latest QRAT variant.

QNodeの 解析 は、マルウェアの運営者がトロイの機能を大幅に改善したことを示しています。QNodeダウンローダーをより回避的にするため、そのコードは現在JAR内の異なるファイルに分割されています。また、GUIと偽のMicrosoft ISCライセンスが追加され、マルウェアのインストールがより疑わしくないようにされています。最後に、マルウェアによって作成されロードされるファイルは、現在Node.JSインストールフォルダの外に移動され、名前が変更されました。このような改善は、QNodeのレーダーを避ける能力に寄与しています。QNodeの悪意のある能力は以前のバージョンとほぼ同じであり、Chrome、Firefox、Thunderbird、Outlookからのパスワードダンプをサポートしています。 

QRATマルウェアの検出

QRATトロイの検出を強化するために、以下から最新のSigmaルールをダウンロードできます Osman Demir、Threat Detection Marketplace SOCコンテンツライブラリの最も多作な貢献者の一人：

https://tdm.socprime.com/tdm/info/b9Lq6emcCgOs/y8eY9nYBTwmKwLA9R8cw/

ルールは以下のプラットフォームに翻訳されています： 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.

EDR: Microsoft Defender ATP, Carbon Black

MITRE ATT&CK: 

戦術: 初期アクセス、防御回避

テクニック: スピアフィッシング添付ファイル (T1566), ファイルおよびディレクトリの権限変更 (T1222)

購読する Threat Detection Marketplaceに無料でアクセスし、特定のCVEでタグ付けされたより多くの関連するSOCコンテンツアイテム、APTグループによって使用されるTTP、およびMITRE ATT&CK®の複数のパラメータに到達します。脅威ハンティングのイニシアティブに貢献する準備ができましたか？この Threat Bountyプログラム に参加して、SOCコンテンツライブラリを豊かにし、Threat Detection Marketplaceのコミュニティと共有しましょう。