Qakbot は、感染したコンピューターの詳細なプロファイル スキャンを実行し、追加のモジュールをダウンロードして、高度な暗号化を提供します。 攻撃の出発点: サイバー犯罪者は、実際の電子メール通信回線を巧みに利用します。 Qakbot ボットネットは、Emotet の足跡をたどっています。
ソフォスは、Qakbot の技術分析を公開し、ボットネットがますます巧妙化し、企業にとって危険になっていることを示しています。 SophosLabs は記事「Qakbot が会話の途中に侵入」で、最近の Qakbot キャンペーンについて説明しています。このキャンペーンでは、ボットネットがメール スレッドの乗っ取りによってどのように拡散し、新たに感染したコンピュータからさまざまなプロファイル情報を収集するかを示しています。 これには、構成されたすべてのユーザー アカウントとアクセス許可、インストールされたソフトウェア、および実行中のサービスが含まれます。 ボットネットは、コア ボットネットの機能を拡張する多数の追加の悪意のあるモジュールもダウンロードします。
Qakbot のマルウェア コードは、型にはまらない暗号化を特徴としています。 これは、通信の内容を偽装するのにも役立ちます。 ソフォスは、ボットネットの悪意のあるモジュールとコマンド アンド コントロール システムを解読することで、Qakbot がその指示を受け取る方法を突き止めました。
Qakbot の感染連鎖
ソフォスが分析したキャンペーンでは、ボットネットが悪意のあるメッセージを既存の電子メール トラフィックに挿入しました。 電子メールには、短い文章と、悪意のある Excel ファイルを含む zip ファイルをダウンロードするためのリンクが含まれています。 ユーザーは、感染チェーンをアクティブにするコンテンツを有効にするよう求められました。 ボットネットが新しいターゲットに感染すると、詳細なプロファイル スキャンを実行し、コマンド アンド コントロール サーバーとデータを共有してから、少なくとも XNUMX つの異なる悪意のあるモジュールをダイナミック リンク ライブラリ (DLL) の形式でダウンロードします。ボットネットに幅広い機能を提供します。
インポートされたモジュールは次のもので構成されていました。
- パスワードを盗むコードを Web サイトに挿入するモジュール
- ネットワーク スキャンを実行し、感染したマシンの近くにある他のマシンに関するデータを収集するモジュール
- 多数の SMTP (Simple Mail Transfer Protocol) 電子メール サーバーのアドレスを検索し、それぞれに接続してスパムを送信しようとするモジュール
ランサムウェア攻撃の既知の前兆
「Qakbot は、電子メールで配布される多目的のモジュール型ボットネットです。 サイバー犯罪者は、Trickbot や Emotet と同様に、これをマルウェア配布ツールとして使用することが増えています」と Sophos の主任脅威研究員である Andrew Brandt は述べています。 「私たちの分析は、詳細な被害者プロファイル データの収集、複雑なコマンド シーケンスを処理するボットネットの能力、およびコア ボットネット エンジンの機能を拡張する多数のモジュールを示しています。」
ボットネット感染は、ランサムウェア攻撃の前兆としてよく知られています。 これは、ボットネットがランサムウェアを配信する可能性があるという理由だけではありません。 ボットネットの開発者は、感染したネットワークへのアクセスを販売または貸与することもできます。 たとえば、ソフォスのチームは、企業ネットワークへの最初の一歩である Cobalt Strike ビーコンを、感染したホストに直接配信する Qakbot サンプルに遭遇しました。 Qakbot のオペレーターは、感染したコンピューターを使用すると、これらのビーコンへのアクセスを顧客に提供、貸与、または販売できます。
Qakbot に対して何をすべきか?
ソフォスでは、メッセージが既存の電子メール トラフィックへの返信であるように見える場合でも、異常または予期しない電子メールに注意することをお勧めします。 ソフォスが調査した Qakbot キャンペーンでは、URL でのラテン語のフレーズの使用は危険信号である可能性がありました。
さらに、セキュリティ チームは、セキュリティ テクノロジによって提供される動作保護が Qakbot の感染を防止することを確認する必要があります。 また、ネットワーク デバイスは、感染したユーザーが既知のコマンド アンド コントロール アドレスまたはドメインに接続しようとすると、管理者に警告します。 詳細については、SophosLabs の記事「Qakbot が会話の途中に侵入する」を参照してください。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。