QBotマルウェア検出:古い犬が新しいトリックを披露

[post-views]
2月 16, 2022 · 6 分で読めます
QBotマルウェア検出:古い犬が新しいトリックを披露

古い犬に新しい芸を教えることはできません。しかし、サイバー犯罪者は一般的なステレオタイプを無視し、更新しています QBot は新たな悪質な手口で被害者を世界中で攻撃しています。このマルウェアの「ベテラン」は2007年に登場しましたが、セキュリティ研究者たちはQBotが悪意あるトレンドに乗るために絶えず更新されていることを観察しています。

例えば、セキュリティ研究者は、QBotの管理者がLOLBin(Living Off the Land Binaries)をますます悪用していることを観察しています。特に普及しているLOLBinはRegsvr32.exeとして知られており、脅威のアクターはこのコマンドラインユーティリティを利用してLokibotやQBotのようなトロイの木馬を被害者のシステムに植え付けます。このアプローチは、Regsvr32.exeが複数のルーチンプロセス内で使用されるツールであることから、オペレーションの成功に繋がる有利な環境を作り出します。

QBot攻撃

QBot(QakBot、QuakBot、またはPinkslipbot)は2000年代後半に初めて現れました。約15年間にわたり、このトロイの木馬は頭痛の種であり、その背後にいるサイバー犯罪者は悪意ある活動を遂行するための革新的な方法を忠実に思いつき続けています。

過去数年間で、 QBotマルウェア は広範なWindowsマルウェアファミリーに成長し、主にフィッシングキャンペーンで利用されています。これによりハッカーは銀行やWindowsドメインの認証情報を盗み、他のマシンを感染させ、ランサムウェアグループにリモートアクセスを提供できます。現在のデータによると、QBotは ランサムウェアの配送エージェント として、REvil、PwndLocker、Egregor、ProLock、MegaCortexのような悪名高いギャングによって企業ネットワークへの初期アクセスを取得するために使用されました。

QBot感染チェーン

通常、QBot感染は他のマルウェア感染または最も一般的にはフィッシング攻撃から発生します。QBotはWindowsを実行しているデバイスをターゲットに、フィッシングメールを初期のアクセスポイントとして使用し、Microsoftのメールクライアント、Outlookのようなシステムのデフォルトアプリケーションの脆弱性を悪用します。今日は、メールスレッドを読み取るモジュールを備えており、QBotの背後にいるハッカーは偽のメールを被害者にとってより本物らしく見せかける新たな高みに達しました。QBotフィッシング攻撃は、偽の請求書、支払い催促、銀行情報、求人情報、スキャンされた文書、ウイルス検出警告、不穏なCOVID-19アラートなど、多様な誘惑を頼りにして、受取人に感染ファイルを開かせ、組み込まれたマクロコードを有効にします。

現在のキャンペーンでは、QBotオペレーターは悪意のあるWord、Excel、RTF、複合文書を配信しています。被害者が文書を開くと、QBot感染の拡散を促進します。初期のQBot DLLローダーがダウンロードされ、QBotプロセスはWindowsスケジュールタスクを利用してシステムへのアクセスレベルを高めます。わずか30分以内に、被害者のシステム全体が襲撃されます。

QBotの防止

QBotは15年以上にわたりサイバーセキュリティのレーダー上にあり、メールを介して配布される老練なマルウェアの古参として悪評を得ています。増加するメールフィッシングキャンペーンを考慮して、Microsoftは2022年4月から実施される、マクロを実行する5つのOfficeアプリケーションでの デフォルトの変更 を発表しました。つまり、インターネットから取得したVBAマクロをブロックすることです。 

上記の解決策は、Windowsを利用するデバイスにとって巨大なセキュリティの飛躍となることが期待されます。その間、 Nattatorn Chuensangarun による検知ルールは、セキュリティ専門家が組織のネットワークに対する最新のQBot攻撃を暴露するのに役立ちます。

Qbotマルウェアはブラウザー情報を収集します(via process_creation)

Qbotマルウェアは回避のためにREGプロセスを使用します(via process_creation)

Qbotマルウェアは権限昇格のためにmsraプロセスを使用します(via process_creation)

SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリにある検出の完全なリストは こちら.

で無料サインアップして、業界のベストプラクティスと共有された専門知識により、脅威の検知をより簡単、迅速、効率的に行えるDetection as Codeプラットフォームを利用してください。また、SOCのプロが独自に作成した検出コンテンツを共有し、最高水準のイニシアチブに参加し、成果を収益化することができます。

プラットフォームへ行く 脅威バウンティに参加する

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事