QBot Malware Infects Over 800 Corporate Users in New, Ongoing Campaign
2022/10/12 SecurityWeek — 9月28日以降に発生した、マルウェア QBot の最新キャンペーンにより、800以上の企業ユーザーが感染したと Kaspersky が警告している。Qakbot/Pinkslipbot とも呼ばれる QBot は、2009年から存在するバックドア/自己拡散機能を持つ情報窃取ツールであり、悪意の攻撃のイニシャル感染ベクターとして広く使用されてきた。2022年初めには、Microsoft Support Diagnostic Tool (MSDT) のリモート・コード実行の脆弱性 Follina (CVE-2022-30190) を悪用した攻撃で、QBot が配布されていた。
2020年以降から QBot のオペレーターが採用している主要な感染手法は、メールのスレッドを乗っ取るというものだ。この手法には複数の攻撃の波があり、現在でも成功を収めている。
Kaspersky の Senior Security Researcher である Victoria Vlasova は、「Qbot は、感染させたデバイスからメールのアーカイブを盗み、盗んだメールを悪用して、その後のメール送信を行っていく。そして、取得した情報を用いて被害者をおびき寄せ、それらのメールを開くよう誘導する」と SecurityWeek との対話で詳述している。
9月28日〜10月7日に、世界中で 1,800人近くのユーザーが QBot に感染していることを 、Kaspersky は確認している。新たな被害者の半数以上が企業ユーザーだと、Vlasova は述べている。セキュリティ研究者たちによると、この新しいキャンペーンで最も狙われている国は、米国/イタリア/ドイツ/インドだという。
米国における 220人の被害者のうち 95人が企業ユーザーであり、ランサムウェアやマルウェア・ファミリーの配布などの、さらなる悪意の行為に企業が晒される可能性がある。Vlasova は、「それぞれの従業員は、業務連絡などを行い際に、悪意のあるファイルを誤って開かないよう、特に注意する必要がある」と指摘している。
Kaspersky は、影響を受ける可能性のある組織の数や、このキャンペーンで最も影響を受けた業種の特定には至らなかった。Vlasova は、「感染した企業ユーザーに関して調査したが、組織内の感染者が1人の場合もあれば、複数人の場合もあるため、今回のケースでも影響を受けた組織の、正確な数は特定できない」と述べている。
Kaspersky が自社のセキュリティ製品で収集したデータに基づき、感染の詳細を提供していることを考えると、新たな QBot の感染総数は、現状よりも拡大する可能性もある。
文中にある、QBot と Follina と MSDT の関連性については、6月9日の「Windows の脆弱性 Follina:Qbot/AsyncRAT などによる悪用が観測された」と、7月7日の「Windows のゼロデイ脆弱性 Follina CVE-2022-30190:Qbot のフィッシング攻撃が始まった」を、ご参照ください。また、QBot の特質などについては、2月8日の「Qbot マルウェアの高速性に注意:感染から 30分後にはメールと認証情報が盗み出される」や、4月11日の「Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ」を、ご参照ください。よろしければ、QBot で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.