Cisco Talos からの新しい脅威インテリジェンスの調査結果が示すように、Qakbot マルウェアの背後にある脅威アクター (アフィリエイト) は活動を続けており、2023 年 XNUMX 月初旬から再びキャンペーンを実行しています。
このキャンペーンでは、フィッシングメールを介してランサムウェア「Ransom Knight」とバックドア「Remcos」を拡散させた。 特別なこと: XNUMX 月末に、Qakbot インフラストラクチャが FBI によって押収されました。。 それにもかかわらず、2月初めに開始されたキャンペーンは継続しています。 これは、法執行機関の措置が Qakbot オペレーターのスパム送信インフラストラクチャに影響を与えたのではなく、コマンド アンド コントロール (CXNUMX) サーバーにのみ影響を与えた可能性があることを示唆しています。
Qakbot は他の配布チャネルを使用します
このキャンペーンで使用される LNK ファイル内のメタデータが、以前の Qakbot の「AA」および「BB」キャンペーンで使用されたマシンのメタデータと一致するため、Cisco Talos は新しいキャンペーンを Qakbot パートナーに関連付けます。 研究者は、インフラストラクチャのシャットダウン後に脅威アクターが自身で Qakbot を拡散させる様子をまだ観察していませんが、Cisco Talos は、このマルウェアが今後も重大な脅威をもたらし続けると考えています。 理由: 開発者は逮捕されなかったため、Qakbot インフラストラクチャの再構築を決定できました。
「FBIがQakbotインフラを閉鎖した後も、現在の脅威レベルは依然として高い。 サッカーの古い格言で言えば、「試合後は試合前」です」と Cisco Talos の Thorsten Rosendahl 氏は言います。 「分析によれば、サイバー犯罪者に対する攻撃が成功したとしても、持続可能なセキュリティは構築されません。 ドイツを含め、脅威状況は依然として高い。」
詳細は Cisco.com をご覧ください
シスコについて シスコは、インターネットを可能にする世界有数のテクノロジー企業です。 シスコは、グローバルで包括的な未来に向けて、アプリケーション、データ セキュリティ、インフラストラクチャ トランスフォーメーション、およびチームのエンパワーメントに新たな可能性を切り開いています。