Sophos X-Ops は、Qakbot マルウェアの新しい亜種を発見し、分析しました。これらの事件は 12 月中旬に初めて明らかになり、昨年 8 月に法執行機関がボットネット インフラストラクチャの解体に成功したにもかかわらず、Qakbot マルウェアが進化し続けていることを示しています。
攻撃者はさらに優れた方法を使用して痕跡を隠蔽します。 Sophos X-Ops が分析した事例では、サイバー犯罪者がマルウェアの暗号化を強化するために共同して努力したことが示されています。これにより、防御者が悪意のあるコードを分析することがさらに困難になりました。さらに、攻撃者は、以前のバージョンよりも強力な方法を使用して、マルウェアとコントロール サーバー間のすべての通信を暗号化するようになりました。このマルウェアは、仮想環境またはサンドボックスでの実行を妨げる、以前に削除された機能も再導入しました。
Qakbot の作成者はまだ活動中
ボットの作成者が起訴された場合にのみ、Quakbot が終了する可能性があります。 Sophos X-Ops の主任研究員である Andrew Brandt 氏は、最近の Qakbot 事件についてコメントし、「Qakbot ボットネット インフラストラクチャの解体は勝利でしたが、ボットの作成者は今も活動を続けています」と述べています。 「オリジナルの Qakbot ソース コードにアクセスできるサイバー犯罪者は、新しい亜種を実験し、実際の使用でテストしています。
最も注目すべき変更の 1 つは、ハードコーディングされたデフォルト構成を隠すためにボットが使用する暗号化アルゴリズムに関するものです。これにより、アナリストがマルウェアがどのように機能するかを確認することがさらに困難になります。攻撃者はまた、仮想マシン (VM) 検出など、以前に廃止された機能を復元し、これらの新しいバージョンでテストしています。 Qakbot の開発は、作成者が起訴されるまで継続される可能性が非常に高いです。良いニュースは、以前に作成されたシグネチャを持つこれらの新しい Qakbot 亜種は、エンドポイント検出ソフトウェアによって簡単に検出できることです。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。
トピックに関連する記事