QBot 뱅킹 트로이 목마는 Qakbot 또는 Pinkslipbot으로도 알려져 있으며, 2008년부터 사이버 보안 연구자들에게 알려져 있으며, 정교한 은폐 기능을 보여 주는 새로운 캠페인으로 기업을 계속 속이고 있습니다.
악성 문서를 전달하는 또 다른 피싱 캠페인이 연구자들의 주목을 끌고 있습니다. 최신 QakBot 공격은 마이크로소프트 워드 문서 첨부 파일이 아닌 문서가 포함된 ZIP 파일을 전달하는 점에서 주목할 만합니다. 압축된 문서에는 매크로가 포함되어 있으며, 이 매크로는 PowerShell 스크립트를 실행하여 사전 정의된 URL에서 QakBot 페이로드를 다운로드합니다.
우리는 주간 규칙 게시물에서 기민한 QakBot 트로이 목마에 대해 독자들에게 이미 경고했습니다. https://socprime.com/blog/rule-of-the-week-qbot-trojan-detection/
오늘, 우리는 공격자들이 두 가지 기술 – CDR(콘텐츠 무기를 해제하고 재구성) 기술 우회와 자식-부모 패턴 감지 우회를 그들의 무기에 추가했음을 알리고자 합니다.
Osman Demir, 위협 현상금 개발자 프로그램의 적극적인 참가자가 현대화된 QakBot 트로이 목마를 탐지하기 위한 Sigma 규칙을 발표했습니다:
다음 플랫폼에 대한 번역이 규칙에 포함되어 있습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
전술: 실행
기술: 명령줄 인터페이스(T1059), PowerShell(T1059), 사용자 실행(T1204)
SOC Prime TDM을 시도할 준비가 되셨습니까? 무료로 가입하세요. 또는 위협 현상금 프로그램에 참여하세요 자신만의 콘텐츠를 제작하여 TDM 커뮤니티와 공유하세요.
