Evasive QBot Malware Leverages Short-lived Residential IPs for Dynamic Attacks
2023/06/01 TheHackerNews — QBot (Qakbot) マルウェアの、高度な回避性と粘着性に関する分析により、その C2 サーバの 25% が、1日しか活動していないことが判明した。Lumen Black Lotus Labs は、「QBot の 50% のサーバーがアクティブなのが、1週間以内であることからして、適応性が高くて動的な C2 インフラが使用されていることが分かる」と、The Hacker News と共有したレポートで指摘している。さらに、セキュリティ研究者である Chris Formosa と Steve Rudd は、「このボットネットは、ホストされた VPS のネットワークに潜むのではなく、住宅用 IP スペースと感染した Web サーバに、そのインフラを隠すための技術を適応させている」と述べている。
QBot (別名 QakBot/Pinkslipbot) は、バンキング型トロイの木馬として開発され、ランサムウェアなどのペイロード・ダウンローダーへと進化した、持続的で強力な脅威である。そして、起源は 2007年までさかのぼる。
このマルウェアは、スピアフィッシング・メールを介して被害者のデバイスに到達する。それらの悪意のメールには、ルアー・ファイルが組み込まれている場合もあれば、おとり文書に誘導する URL が埋め込まれている場合もある。
QBot の背後にいる脅威アクターは、長年にわたって戦術を改善し続け、Eメールのスレッド・ハイジャック/HTML スマグリング/珍しい添付ファイル形式を採用したセキュリティ・バイパスなどの、さまざまな悪用方式を用いて被害者のシステムに侵入している。
また、このオペレーションで注目すべき点は、その手口そのものだ。 QBot のマルスパム・キャンペーンは、大規模な活動の後に、ほとんど攻撃を行わない期間を経て、感染経路を変更して再び現れるという形で展開される。
2023年初頭の QBot によるフィッシングは、Microsoft OneNote を侵入経路としていた。しかし、最近の攻撃では、保護された PDF ファイルを悪用することで、被害者のマシンにマルウェアをインストールする方式に変化している。
QBot が依存する先は、侵害した Web サーバや、C2 のための住宅用 IP 空間に存在するホストであるため、そのライフスパンは短く、平均で 70~90台の新しいサーバが、一週間に出現するシナリオとなる。
Lumen の研究者たちは、「QBot は、被害者のマシンを C2 として再利用することで回復力を維持している。侵害後に C2 へと変化するボットを介して、C2 を補充している」と説明している。
先月に Team Cymru が公開したデータによると、QBot ボットの C2 サーバの大半は、サードパーティのブローカーから購入された、すでに侵害されているホストである疑いがあり、その大半は 2023年3月の時点で、インドに存在しているという。
この攻撃インフラを、Black Lotus Labs が調査した結果として明らかになったのは、感染したボット の大半を、他の悪意の目的のためのプロキシへと変化させる、バック・コネクト・サーバーの存在である。
研究者たちは、「QBot は、そのアーキテクチャを構築/発展させるために、現場主義的なアプローチを採用してきた。Emotet のような、圧倒的な数に依存するわけではないが、イニシャル・アクセスの方法を変え、住居用 IP を用いた C2 アーキテクチャを、弾力的/回避的に維持するという、狡猾な技術力を示している」と結論付けている。
消えたと思ったら、また現れるという QBot ですが、どうやって C2 インフラを維持しているのという、研究が進んでいるようです。しかし、この QBot 戦略が明らかになっても、根絶するのは難しいと感じてしまいます。よろしければ、QBot で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.