Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ

Qbot malware switches to new Windows Installer infection vector

2022/04/11 BleepingComputer — 現在 Qbot ボットネットは、パスワード保護された ZIP アーカイブを添付したフィッシング・メールを介して、マルウェアのペイロードを送信しているが、その中に悪意の MSI Windows Installer パッケージも含まれる。これまでの Qbot オペレーターたちは、悪意のマクロを含む Microsoft Office ドキュメントを、フィッシング・メールにより配信し、標的デバイスにマルウェアをドロップするという手法を用いていたが、新しい戦術が使われたことになる。

2022年1月に Microsoft は、Excel 4.0 (XLM) のマクロをデフォルトで無効にした後に、2月には VBA Office マクロによるマルウェア配信を阻止する計画を発表している。したがって、この動きは Microsoft に対する直接的な反応だろうと、セキュリティ研究者たちは推測している。

2022年4月上旬に Microsoft は、VBA マクロの自動ブロック機能を、Current Channel (Preview) の Version 2203 を皮切りに、Windows版 Office ユーザーに展開し始め、その後に他のリリース・チャネルや古バージョンにも展開し始めました。

2021年12月に Microsoft は、「攻撃者が Qakbot を配信するために用いた電子メールの悪用方法は多様だが、一連のキャンペーンでは Office 文書が、特に Excel 4.0 の悪意のマクロが、使用されている点が共通している。脅威アクターは検出を回避する試みとして Excel 4.0 マクロを使用するが、いまは、この機能がデフォルトで無効になっているため、ユーザーを騙して手動で有効にさせると、このような悪意のマクロの実行が可能なることに留意してほしい」と述べている。

Office 文書に埋め込まれた悪意の VBA マクロの使用は、Qbot/Emotet/TrickBot/Dridex などの、フィッシング攻撃でマルウェアをドロップする一般的な方法であるため、前述の Microsoft の対応は、Office ユーザーの保護に向けた重要なセキュリティ向上となる。

Joseph Roosen Qbot tweet

Qbot とは?

Qbot (Qakbot/Quakbot/Pinkslipbot とも呼ばれる) は、2007年ころに登場したワーム機能を備えたモジュール型の Windows バンキング・トロイの木馬であり、銀行で用いられる認証情報/個人情報/財務データなどを盗むだけではなく、感染したコンピューターにバックドアを設置し、Cobalt Strike ビーコンを展開するために使用される。

また、このマルウェアはネットワーク共有を悪用することで、Active Directory の管理者アカウントを標的とした極めて攻撃的なブルートフォース攻撃を行い、感染させたネットワーク上の他のデバイスも感染させる。

Qbot は 10年以上前から活動しているが、費用対効果が高いとされ、主に企業に対する高度な標的型攻撃で使用されてきまた。REvil/Egregor/ProLock/PwndLocker/MegaCortex などの、複数のランサムウェア・ギャングも、企業ネットワークへの侵入に Qbot を使用している。

Qbot の感染は、危険な感染や破壊的な攻撃につながる可能性がある。したがって、このマルウェアをネットワーク全体に広げるために用いられる戦術や、新しいターゲットに配信するためにボットネット・オペレーターが用いる戦術について、IT 管理者やセキュリティ専門家たちは熟知しておく必要がある。

2021年12月に発表された Microsoft のレポートは、Qbot の攻撃の多用途性を捉えており、その感染範囲を正確に評価することは難しいとしている。

Microsoft のマルウェア対策として、マクロに制限がかけれたことは、2022年1月22日の「Microsoft Excel 4.0 マクロはディフォルトで OFF:マルウェア対策の一環」や、2月7日の「Microsoft の方針転換:Office VBA MoTW マクロはディフォルトで OFF」でお伝えしてきました。そこで、Qbot としても、戦略をマクロからインストーラーに切り替えているようです。また、Qbot 自身に関しては、2月8日の「Qbot マルウェアの高速性に注意:感染から 30分後にはメールと認証情報が盗み出される」で、その高機能ぶりが紹介されています。よろしければ、ご参照ください。

%d bloggers like this: