Qakbotの目撃情報で法執行機関の取り締まりは単なる後退に過ぎなかったことが判明

Qakbot マルウェアは、米国および国際法執行当局が「ダックハントに設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」

ここ数日、複数のセキュリティ ベンダーが、ホスピタリティ業界の組織を標的としたフィッシングメールを通じてマルウェアが配布されているのを確認したと報告しました。現時点では、電子メールの量は比較的少ないようです。しかし、Qakbot オペレーターが過去に示した粘り強さを考えると、量が再び増加するまでにそう長くはかからないだろう。

少量 – これまでのところ

Microsoft の脅威インテリジェンス グループは、最近の攻撃で使用されたペイロードのタイムスタンプに基づいて、新しいキャンペーンが 11 月 XNUMX 日に始まったと推定しています。ターゲットはIRSの従業員を名乗るユーザーからPDFが添付された電子メールを受け取ったと同社は発表した。 X での複数の投稿、以前はTwitterとして知られていたプラットフォーム。 「PDF には、デジタル署名された Windows インストーラー (.msi) をダウンロードする URL が含まれていました」と Microsoft は投稿しました。 「MSI を実行すると、埋め込み DLL のエクスポート 'hvsi' 実行を使用して Qakbot が呼び出されました。」研究者らは、脅威アクターが新しいキャンペーンで配布している Qakbot のバージョンを、これまでに見たことのないバージョンだと説明しました。

Zscaler もマルウェアの出現を観察しました。 X に関する投稿で、同社は 新しいバージョンを特定しました 64 ビットとして、ネットワーク暗号化に AES を使用し、侵害されたシステム上の特定のパスに POST リクエストを送信します。 プルーフポイントは同様の目撃情報を確認した その翌日には、現在のキャンペーンの PDF が少なくとも 28 月 XNUMX 日以降に配布されていることにも言及しました。

長期にわたり蔓延する脅威

Qakbot は、少なくとも 2007 年から存在する特に有害なマルウェアです。その作成者は当初、このマルウェアをバンキング型トロイの木馬として使用していましたが、近年ではサービスとしてのマルウェア モデルに移行しました。通常、攻撃者はフィッシングメールを介してマルウェアを配布し、感染したシステムは通常、より大きなボットネットの一部になります。で テイクダウンの時間 700,000月、法執行機関は世界中で200,000万台ものQakbotに感染したシステムを特定し、そのうち約XNUMX万台が米国にあったと発表した。

Qakbot に関連する攻撃者は、他のマルウェア、特に Cobalt Strike を投下する手段として Qakbot を使用することが増えています。 ブルート・ラーテル そして大量のランサムウェア。多くの場合、初期アクセス ブローカーは Qakbot を使用してターゲット ネットワークへのアクセスを取得し、その後そのアクセスを他の脅威アクターに販売しました。 「QakBot の感染は、Conti、ProLock、Egregor、REvil、MegaCortex、Black Basta、Royal、PwndLocker など、人間が操作するランサムウェアの展開に先立って起こることが特に知られています。」 米国サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー 今年初めに法執行機関による取り締まりを発表した声明で述べた。

テイクダウンのみ低速化した Qakbot

Qakbot マルウェアの最近の目撃情報は、一部のベンダーがここ数カ月間に報告したことを裏付けるものであるようです。法執行機関の取り締まりは、一般に認識されているよりも Quakbot 攻撃者に対する影響が少なかったということです。

たとえば XNUMX 月には、次の脅威ハンターが Cisco Talos FBI による Qakbot インフラの押収後、数週間から数か月間、Qakbot に関連する攻撃者が Remcos バックドアと Ransom Knight ランサムウェアを配布し続けていたと報告しました。 Talos のセキュリティ研究者 Guilherme Venere 氏は、これを、XNUMX 月の法執行活動によって Qakbot のコマンド＆コントロール サーバのみが削除され、スパム配信メカニズムは削除されなかった可能性がある兆候であると考えました。

「インフラストラクチャの停止後、攻撃者が Qakbot 自体を配布しているのは確認されていませんが、このマルウェアは今後も重大な脅威となり続けると考えています」と Venere 氏は当時述べていました。 「開発者らは逮捕されず、現在も活動を続けており、Qakbot インフラストラクチャの再構築を選択する可能性があるため、この可能性が高いと考えています。」

セキュリティ会社Lumuは、1,581月にQakbotに起因する顧客への攻撃試行が合計XNUMX件あったと発表した。同社によれば、その後数か月間、活動はほぼ同じレベルを維持しているという。ほとんどの攻撃は、金融、製造、教育、政府部門の組織を標的としています。

Lumu CEO のリカルド・ビジャディエゴ氏は、脅威グループがマルウェアの配布を継続していることは、重大な結果を回避できたことを示していると述べています。同グループが事業を継続できるかどうかは、主に経済的実現可能性、技術的能力、そして新しいインフラストラクチャの確立の容易さにかかっている、と同氏は指摘する。 「ランサムウェア モデルは依然として収益性が高く、法的取り組みがこれらの犯罪行為の個人や根底にある構造を特に標的にしていないため、このようなマルウェア ネットワークを完全に無力化することは困難になっています。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback