Black Basta ランサムウェアの新戦術:Qakbot 経由でネットワークに侵入して Brute Ratel C4 を展開

Black Basta Ransomware Hackers Infiltrate Networks via Qakbot to Deploy Brute Ratel C4

2022/10/17 TheHackerNews — Black Basta ランサムウェア・ファミリーの背後にいる脅威アクターは、 Qakbotトロイの木馬を用いる最近の攻撃において、第2段階のペイロードとして Brute Ratel C4フレームワークを展開していることが確認された。Trend Micro は、先週に発表した技術分析で、最新の敵対的シミュレーション・ソフトウェア Brute Ratel C4 が、Qakbot 感染を通じて配信される初めてのケースだと述べている。この侵入は、兵器化された ZIP アーカイブ・リンクを含むフィッシング・メールを介して達成され、横方向への移動には Cobalt Strike が使用されている。


これらのユーティリティは、侵入テストを行うために設計されたものだが、リモートアクセスが可能でありスティルス性が高いため、侵入した環境を秘密裏に調査する攻撃者にとって、きわめて有利なツールとなっている。

2022年9月から、Brute Ratel C4 のクラック版がアンダーグラウンドで流通し始め、ライセンス・アルゴリズムの更新により、防御側による再クラックが困難になったことも、この状況を悪化させた。

Qakbot は、QBot や QuackBot とも呼ばれ、2007年から活動している情報窃盗およびバンキング・トロイの木馬のことである。しかし、そのモジュラー設計とダウンローダーとしての機能を進化させ、侵入後に追加のマルウェアを投下するための、魅力的な候補へと変化してきた。

Trend Micro によると、このメールに添付された ZIP ファイルには ISO ファイルが含まれており、その ISO ファイルには Qakbot ペイロードを取得する LNK ファイルが含まれている。つまり、Web からダウンロードされる文書に対して、Microsoft がマクロをブロックするという決定を受けて、その戦術を適応させてきたという意図が見られる。

Qakbot の感染は、arp/ipconfig/nslookup/netstat/whoami などの内蔵コマンドライン・ツールを使って自動偵察を行った後に、Brute Ratel と Cobalt Strike の取得により成功にいたる。

発見された攻撃では、脅威アクターが悪意のアクティビティを起こす前に阻止されたが、最終的な目標はドメイン全体に及ぶランサムウェアの展開であった可能性が疑われている。

Trend Micro が発見した別の Qakbot 実行チェーンでは、HTML スマグリングと呼ばれる一般的な方法で ZIP ファイルが配信され、第2段階として Brute Ratel C4 が実行されていたという。

研究者たちは、「Qakbot から Brute Ratel/Cobalt Strike へのキルチェーンは、Black Basta ランサムウェア・グループと関連している。つまり、Black Basta 攻撃で観察された TTP およびインフラを重複している」と指摘している。

この数カ月間で発見された、HTML ファイルの添付/DLL のサイドローディング/電子メールのスレッド・ハイジャックなどの手法の分析により、Qakbot 攻撃が復活したと捉えられる。それらの中で直近このものは、Microsoft Exchange Server を狙った ProxyLogon 攻撃の成功により、大量の電子メールを採取するものだった。

多様化する IcedID の攻撃者たち

マクロの制限を回避するために、ISO などのファイル形式での配布を多用する Access-as-a-Service マルウェアは、Qakbot だけではない。Emotet/IcedID/Bumblebeeなどのキャンペーンが、すべて同様の軌道をたどっている。

2022年9月下旬に Palo Alto Networks の Unit 42 は、IcedID (別名 BokBot) マルウェアの配信において、多言語化された悪意の Microsoft Compiled HTML Help (CHM) ファイルを発見したと発表している。

また、Team Cymru によると、その他の配信方法と感染経路として、Qakbot の手法を反映した ISO ファイルを含む、パスワード保護された ZIP ファイルが使用されているようだ。この PrivateLoader として知られる有料インストーラー・サービスを通じて、ペイロードが伝播されるとしている。

そして Emotet は、3ヶ月間の短い中断の後に、systeminfo モジュールを作り直し、特定の被害者のターゲティングを改善し、追跡ボットを実際のユーザーと区別するための機能を、新たな一連の攻撃のために備えているように見えると、ESET は一連のツイートで明らかにしている。

ESET の Director of Threat Research である Jean-Ian Boutin は、「7月以降において、Emotet からの新しいスパムの波を見ていないが、その理由は不明である。彼らは過去に何回かの休憩を取ったが、それほど長い間ではなかった。おそらく、この新しいモジュールのテストしており、近い将来に活動を再開すると思われるが、もちろん、それは憶測だ」と、The Hacker News に対して述べている。

Brute Ratel については、6月6日の「Brute Ratel C4 という強力なレッドチーム・ツール:Cobalt Strike のように悪意のペイロード化するのか?」と、9月28日の「Brute Ratel ポスト・エクスプロイト・キットのクラック版:残念なことに蔓延の兆し」で、すでにお伝えしてきましたが、ついに Qakbot (Qbot) 経由での展開が始まったようです。校舎の記事には、「クラックされていないバージョンが VirusTotal にアップロードされ、それがロシアのグループ Molecules によりクラックされ、ライセンス・チェックが外された」と記されています。

%d bloggers like this: