Qakbot マルウェアは、米国および国際法執行当局が「ダックハントに設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」
ここ数日、複数のセキュリティ ベンダーが、ホスピタリティ業界の組織を標的としたフィッシングメールを通じてマルウェアが配布されているのを確認したと報告しました。現時点では、電子メールの量は比較的少ないようです。しかし、Qakbot オペレーターが過去に示した粘り強さを考えると、量が再び増加するまでにそう長くはかからないだろう。
少量 – これまでのところ
Microsoft の脅威インテリジェンス グループは、最近の攻撃で使用されたペイロードのタイムスタンプに基づいて、新しいキャンペーンが 11 月 XNUMX 日に始まったと推定しています。ターゲットはIRSの従業員を名乗るユーザーからPDFが添付された電子メールを受け取ったと同社は発表した。 X での複数の投稿、以前はTwitterとして知られていたプラットフォーム。 「PDF には、デジタル署名された Windows インストーラー (.msi) をダウンロードする URL が含まれていました」と Microsoft は投稿しました。 「MSI を実行すると、埋め込み DLL のエクスポート 'hvsi' 実行を使用して Qakbot が呼び出されました。」研究者らは、脅威アクターが新しいキャンペーンで配布している Qakbot のバージョンを、これまでに見たことのないバージョンだと説明しました。
Zscaler もマルウェアの出現を観察しました。 X に関する投稿で、同社は 新しいバージョンを特定しました 64 ビットとして、ネットワーク暗号化に AES を使用し、侵害されたシステム上の特定のパスに POST リクエストを送信します。 プルーフポイントは同様の目撃情報を確認した その翌日には、現在のキャンペーンの PDF が少なくとも 28 月 XNUMX 日以降に配布されていることにも言及しました。
長期にわたり蔓延する脅威
Qakbot は、少なくとも 2007 年から存在する特に有害なマルウェアです。その作成者は当初、このマルウェアをバンキング型トロイの木馬として使用していましたが、近年ではサービスとしてのマルウェア モデルに移行しました。通常、攻撃者はフィッシングメールを介してマルウェアを配布し、感染したシステムは通常、より大きなボットネットの一部になります。で テイクダウンの時間 700,000月、法執行機関は世界中で200,000万台ものQakbotに感染したシステムを特定し、そのうち約XNUMX万台が米国にあったと発表した。
Qakbot に関連する攻撃者は、他のマルウェア、特に Cobalt Strike を投下する手段として Qakbot を使用することが増えています。 ブルート・ラーテル そして大量のランサムウェア。多くの場合、初期アクセス ブローカーは Qakbot を使用してターゲット ネットワークへのアクセスを取得し、その後そのアクセスを他の脅威アクターに販売しました。 「QakBot の感染は、Conti、ProLock、Egregor、REvil、MegaCortex、Black Basta、Royal、PwndLocker など、人間が操作するランサムウェアの展開に先立って起こることが特に知られています。」 米国サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー 今年初めに法執行機関による取り締まりを発表した声明で述べた。
テイクダウンのみ低速化した Qakbot
Qakbot マルウェアの最近の目撃情報は、一部のベンダーがここ数カ月間に報告したことを裏付けるものであるようです。法執行機関の取り締まりは、一般に認識されているよりも Quakbot 攻撃者に対する影響が少なかったということです。
たとえば XNUMX 月には、次の脅威ハンターが Cisco Talos FBI による Qakbot インフラの押収後、数週間から数か月間、Qakbot に関連する攻撃者が Remcos バックドアと Ransom Knight ランサムウェアを配布し続けていたと報告しました。 Talos のセキュリティ研究者 Guilherme Venere 氏は、これを、XNUMX 月の法執行活動によって Qakbot のコマンド&コントロール サーバのみが削除され、スパム配信メカニズムは削除されなかった可能性がある兆候であると考えました。
「インフラストラクチャの停止後、攻撃者が Qakbot 自体を配布しているのは確認されていませんが、このマルウェアは今後も重大な脅威となり続けると考えています」と Venere 氏は当時述べていました。 「開発者らは逮捕されず、現在も活動を続けており、Qakbot インフラストラクチャの再構築を選択する可能性があるため、この可能性が高いと考えています。」
セキュリティ会社Lumuは、1,581月にQakbotに起因する顧客への攻撃試行が合計XNUMX件あったと発表した。同社によれば、その後数か月間、活動はほぼ同じレベルを維持しているという。ほとんどの攻撃は、金融、製造、教育、政府部門の組織を標的としています。
Lumu CEO のリカルド・ビジャディエゴ氏は、脅威グループがマルウェアの配布を継続していることは、重大な結果を回避できたことを示していると述べています。同グループが事業を継続できるかどうかは、主に経済的実現可能性、技術的能力、そして新しいインフラストラクチャの確立の容易さにかかっている、と同氏は指摘する。 「ランサムウェア モデルは依然として収益性が高く、法的取り組みがこれらの犯罪行為の個人や根底にある構造を特に標的にしていないため、このようなマルウェア ネットワークを完全に無力化することは困難になっています。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback
- :持っている
- :は
- :not
- $UP
- 000
- 1
- 11
- 200
- 28
- 7
- 700
- a
- 能力
- アクセス
- 従った
- アクティビティ
- 俳優
- AES
- 後
- 再び
- また
- an
- および
- とインフラ
- 発表
- どれか
- 現れる
- です
- 周りに
- 逮捕された
- AS
- 評価する
- At
- 攻撃
- 試みた
- 8月
- 当局
- 著者
- バック
- 裏口
- バンキング
- ベース
- BE
- になる
- になる
- き
- 始まった
- さ
- より大きい
- ブラック
- ボットネット
- ブローカー
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- キャンペーン
- 機能
- 最高経営責任者(CEO)
- 挑戦
- 選択する
- コバルト
- 会社
- 完全に
- 損害を受けた
- 確認します
- 確認済み
- 結果
- 含まれている
- コンティ
- 続ける
- 継続します
- 連続
- 刑事上の
- 電流プローブ
- Customers
- サイバーセキュリティ
- 中
- 日
- 12月
- 展開
- 記載された
- 開発者
- デジタル処理で
- 分配します
- 配布
- 配布する
- ディストリビューション
- ダウンロード
- Drop
- ダビングされた
- 前
- 緩和する
- 経済
- 教育
- 努力
- メール
- 埋め込まれた
- 従業員
- 暗号化
- 執行
- 確立
- 推定
- 逃げる
- 実行
- 実行
- export
- 米連邦捜査局(FBI)
- 実行可能性
- ファイナンス
- 会社
- フォロー中
- 以前は
- フォワード
- 4
- から
- 利得
- 一般に
- 与えられた
- 政府・公共機関
- グループ
- 持っていました
- 持ってる
- 避難所
- he
- ヒンジ
- ホスピタリティー
- HTTPS
- 特定され
- 影響
- in
- 含めて
- ますます
- を示し
- 個人
- 感染症
- インフラ関連事業
- 初期
- インテリジェンス
- 世界全体
- 呼び出された
- IRS
- IT
- ITS
- 自体
- JPG
- 騎士
- 既知の
- 後で
- 法律
- 法執行機関
- 最低
- ツェッペリン
- リーガルポリシー
- less
- レベル
- ような
- 可能性が高い
- 位置して
- 長い
- ロー
- マルウェア
- マネージド
- 製造業
- 多くの
- 五月..
- メカニズム
- Microsoft
- 瞬間
- ヶ月
- 他には?
- 最も
- 移動する
- MSI
- ネットワーク
- 新作
- 特に
- 注意
- ノート
- 注記
- 11月
- 10月
- of
- on
- の
- 開設
- オペレーティング
- 操作
- オペレーショナル
- 業務執行統括
- 演算子
- or
- 組織
- 元々
- その他
- でる
- 部
- 特に
- 過去
- path
- 知覚される
- フィッシング詐欺
- ピック
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポーズ
- 可能性
- ポスト
- 掲示
- 投稿
- 前に
- 主に
- 有益な
- 身代金
- ランサムウェア
- 受け
- 最近
- 相対的に
- 残った
- 残っている
- 報告
- リクエスト
- 研究者
- 研究者
- 悪
- ロイヤル
- s
- 前記
- 同じ
- 見ました
- 言う
- セクター
- セクター
- セキュリティ
- 見ること
- 見て
- 発作
- 送信
- 9月
- サーバー
- いくつかの
- 示す
- 符号
- 署名されました
- 重要
- 同様の
- から
- So
- 売ら
- 一部
- 特定の
- 特に
- ステートメント
- まだ
- ストライキ
- 構造
- それに続きます
- システム
- 撮影
- 茎
- ターゲット
- 対象となります
- ターゲット
- 技術的
- より
- それ
- 法律
- ボーマン
- 彼ら
- この
- 今年
- しかし?
- 脅威
- 脅威アクター
- 時間
- タイムスタンプ
- 〜へ
- トータル
- トロイの
- さえずり
- 一般的に
- 根本的な
- URL
- us
- 中古
- ユーザー
- 通常
- 自動車
- ベンダー
- バージョン
- 、
- ボリューム
- ボリューム
- ました
- we
- ウィークス
- WELL
- した
- この試験は
- which
- while
- 広く
- 意志
- ウィンドウズ
- 勝った
- X
- 年
- 年
- ゼファーネット