OneNote ファイル経由で QBot をプッシュ:QakNote というマルウェア・キャンペーンを観測

New QakNote attacks push QBot malware via Microsoft OneNote files

2023/02/07 BleepingComputer — 先週から観測されているのは、QakNote という名の新しい QBot マルウェア・キャンペーンである。同キャンペーンでは、システムにバンキング型トロイの木馬を感染させる手口として、Microsoft OneNote の 悪意の “.one” 添付ファイルが使用されている。Qbot (別名:QakBot) は、かつてはバンキング型トロイの木馬だったが、デバイスへのイニシャル・アクセスを獲得することに特化したマルウェアへと進化している。それにより、感染させたマシンに脅威アクターが追加のマルウェアをロードし、ネットワーク全体でデータ窃取/ランサムウェア展開などの活動を行うことが可能になった。


2022年7月に Microsoft が、Office 文書内の悪意のマクロを無効化したことにより、ターゲットのデバイス上で、脅威アクターがコードを実行するための選択肢が少なくなった。フィッシング・メールに OneNote を添付する手法は、この悪意のマクロに代わる新たな攻撃経路として、先月に登場したものだ。

脅威アクターたちは、VBS 添付ファイル/LNK ファイルなどの、ほぼ全ての種類のファイルを、OneNote 文書に埋め込むことが可能である。そして、ユーザーが OneNote ノートブックに埋め込まれた添付ファイルをダブルクリックすると、それらのファイルが実行される。

しかしこの手法は、以下のように “’Double Click to View File’” ボタンなどのアクションを促し、特定の場所をクリックさせて添付ファイルを起動するよう、ユーザーを誘導するソーシャル・エンジニアリングの導入を必要とする。

Example of a malicious Microsoft OneNote attachment
悪意の Microsoft OneNote の添付ファイルの例
Source: BleepingComputer

一度起動すると、埋め込まれた添付ファイルはローカルマシン上でコマンドを実行し、マルウェアをダウンロード/インストールする。

QakNote キャンペーン

Sophos の最新レポートにおいて、セキュリティ研究者の Andrew Brandt は、「2023年1月31日から QBot のオペレーターが、この新しい配布方法を試し始めている。QBot マルウェアのペイロードを取得するための、HTML アプリケーション (HTA ファイル) が埋め込まれた、OneNote ファイルが使用されている」と説明している。

QBot における、このの配布方法の切り替えは、2023年1月31日に Cynet の研究者 Max Malyutin が、Twitter で初めて公に報告したものだ。

Tweet

HTA ファイル内のスクリプトは、正規の “curl.exe” アプリケーションを使用し、DLL ファイル (Qbot マルウェア) を “C:\ProgramData” フォルダにダウンロードした後に、Rundll32.exe を使用して実行する。

Content of the HTA file
悪意の HTA ファイルの内容 (Sophos)

QBot ペイロードは、Windows Assistive Technology Manager (“AtBroker.exe”) に自身を注入して身を隠し、デバイス上で動作する AV ツールの検出を回避する。

Sophos の報告によると、QBot のオペレーターは、これらの HTA ファイルの配布方法として、武器化した “.one” ファイルへのリンクを埋め込んだメールを送信する方法と、スレッド・インジェクション方式を採用する方法の、2つを採用しているという。

特に後者は、QBot オペレーターが既存のメールスレッドを乗っ取った後に、悪意の OneNote Notebook ファイルを添付した “Reply-to-all” メッセージを、スレッドの参加者に送信するという巧妙な手口だ。

これらの攻撃は、さらに被害者を欺くために、ノートブック・ファイル内で偽のボタンを使用し、クラウドからドキュメントをダウンロードするように見せかけている。そのボタンをクリックすると、クラウドからではなく、埋め込まれた HTA 添付ファイルが実行される。

QBot malspam reaching targets
ターゲットに到達した QBot ファイル (Sophos)

このアクションは、添付ファイルを実行するリスクについて警告する、ダイアログを被害者に対して表示するが、それらが無視され続ける可能性がある。

Sophos は、この新しい攻撃経路に対する防御策を、メール管理者に対して提案している。具体的に言うと、”.one” ファイルが添付ファイルとして送信されることは稀であるため、すべての “.one” ファイル拡張子をブロックするというものである。

2023/01/21 の「Microsoft OneNote ファイルに要注意:新たなマルウェア配布が始まっている」で、このマルウェア・キャンペーンについてお伝えしましたが、そのときには QBot の名前は出ていませんでした。そちらの記事では、「2022年12月中旬以降において、サイバー・セキュリティ研究者たちが、OneNote の添付ファイルを含む悪意のスパム・メールを、脅威アクターたちが配信し始めたと警告している。BleepingComputer が発見したサンプルによると、これらのマルスパム・メールは、DHL の出荷通知/請求書/ACH 送金フォーム/機械図面/出荷書類などを装っている」と記されていました。

%d bloggers like this: