신규 QakBot 기술

QBot 뱅킹 트로이 목마는 Qakbot 또는 Pinkslipbot으로도 알려져 있으며, 2008년부터 사이버 보안 연구자들에게 알려져 있으며, 정교한 은폐 기능을 보여 주는 새로운 캠페인으로 기업을 계속 속이고 있습니다.

악성 문서를 전달하는 또 다른 피싱 캠페인이 연구자들의 주목을 끌고 있습니다. 최신 QakBot 공격은 마이크로소프트 워드 문서 첨부 파일이 아닌 문서가 포함된 ZIP 파일을 전달하는 점에서 주목할 만합니다. 압축된 문서에는 매크로가 포함되어 있으며, 이 매크로는 PowerShell 스크립트를 실행하여 사전 정의된 URL에서 QakBot 페이로드를 다운로드합니다. 

우리는 주간 규칙 게시물에서 기민한 QakBot 트로이 목마에 대해 독자들에게 이미 경고했습니다. https://socprime.com/blog/rule-of-the-week-qbot-trojan-detection/

오늘, 우리는 공격자들이 두 가지 기술 – CDR(콘텐츠 무기를 해제하고 재구성) 기술 우회와 자식-부모 패턴 감지 우회를 그들의 무기에 추가했음을 알리고자 합니다.

Osman Demir, 위협 현상금 개발자 프로그램의 적극적인 참가자가 현대화된 QakBot 트로이 목마를 탐지하기 위한 Sigma 규칙을 발표했습니다:

https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType[]=name&searchSubType=&searchQueryFeatures=false&searchValue=qakbat+maldoc+campaign+two+new+techniques

다음 플랫폼에 대한 번역이 규칙에 포함되어 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행

기술: 명령줄 인터페이스(T1059), PowerShell(T1059), 사용자 실행(T1204)

SOC Prime TDM을 시도할 준비가 되셨습니까? 무료로 가입하세요. 또는 위협 현상금 프로그램에 참여하세요 자신만의 콘텐츠를 제작하여 TDM 커뮤니티와 공유하세요.