QakBot検出：新しいトロイの木馬の亜種が新しい手口を獲得

セキュリティ専門家は、新しい情報スティーラーおよびバンキングトロージャンのバリアントを発表しました。それは通称 QBot (別名QakBot、QuackBot、またはPinkslipbot)として知られています。このトロージャンは2000年代後半に初めて検出され、主に被害者のパスワードを盗むことを目的とした金銭的動機の攻撃に使用されていました。そのオペレーターは定期的に新しい手法を持って復活し、新しい配送ベクトルや回避技術を採用しています。今回は、敵対者は武器化されたHTML添付ファイルを開いてQakbotをインストールするよう被害者を騙し、フィッシングキャンペーンで広めています。

QakBotの検出

新たにリリースされた検出ルールを使用して Nattatorn Chuensangarun による、組織のネットワークに対する最新のQBot攻撃を暴露します：

フィッシングメールによるHTMLファイル添付を通じて拡散された可能性のあるQakBotの実行（via process_creation）

The Sigmaルール は、19以上のSIEM、EDR＆XDRプラットフォーム全体で使用可能であり、 MITRE ATT&CK®フレームワーク v.10に整合し、Defense EvasionおよびExecution戦術に対処し、Signed Binary Proxy Execution（T1218）およびUser Execution（T1204）を主要な手法としています。

登録されたSOC Primeユーザーは、業界特化の革新的なソリューションおよび26以上のSIEM、EDRおよびXDR技術に統合された20万以上の検出アルゴリズムにアクセスできます。QBot攻撃を検出するためのSigmaルールの包括的なリストにアクセスするには、以下の Detect & Hunt ボタンをクリックしてください。

ネットワークを通過する脅威をよりよく可視化するために、SOC Primeからの新しいソリューションである、常に変化する脅威の地形をナビゲートできます。このサーチエンジンは無料で利用でき、制約はありません。以下の Explore Threat Context ボタンを押してお試しください。

Detect & Hunt Explore Threat Context

QakBotの説明

最近のオペレーションで、QakBotの配布を行う攻撃者は、ZIPファイルの拡張子を使用し、一般的な形式を模倣して、標的が悪意のある添付ファイルをダウンロードしてQakbotをインストールするように仕向けることで、検出回避能力を次のレベルに引き上げる新しいアプローチを採用しました。受信者がHTMLファイルを開くとき、プロセスにはJavaScriptコードの実行が含まれます。その後、ローカル変数によって保持されているbase64文字列のデコードが続き、コーディングされたZIPアーカイブを保存するためにビルトイン関数を呼び出します。ZIPファイルには、テキストファイルを視覚的に模倣したWindowsショートカットファイルが含まれています。ダブルクリックすると、QakBotのローダープログラムが起動します。研究データによると、QakBotトロージャンの最新バージョンは、新しいアンチ解析および難読化技術が強化されています。

このキャンペーンでは、犯罪ハッカーはOCX、ooccxx、.dat、.gypのようなペイロードの拡張を利用して、自動化されたセキュリティスキャンからの検出を回避しています。

毎日新しい攻撃が現れ、SOCの専門家は、ノイズを切り裂き、現実のセキュリティ脅威を特定するために、正確で露出ベースのソリューションを必要としています。SOC Primeの広範な検出コンテンツライブラリは、情報セキュリティ専門家がセキュリティ投資から価値を向上させるのを可能にします。SOC Primeの Detection as Codeプラットフォームに参加することで、サイバー防御の能力がどのように加速されるかを実際に見ることができます。