Creative QakBot Attack Tactics Challenge Security Defenses
2023/08/25 InfoSecurity — 2023 Q2 に最も活発だったマルウェア・ファミリーの1つとして、QakBot が挙げられていることが、HP Wolf の最新レポート Threat Insights Report Q2 2023 により判明した。同社の分析によると、セキュリティ・ポリシーや検知ツールを回避するために、サイバー犯罪者たちは攻撃の手法を多様化させている。その一例として、“building blog style attacks” を利用して、キャンペーンを実行していることが確認されているという。
一般的な攻撃チェーンは定型的であり、ペイロードに至るまでの誰もが通る経路があると、HP Wolf は声明で指摘している。
しかし、QakBot のキャンペーンでは、脅威アクターたちは異なるブロックをつなぎ合わせて、ユニークな感染チェーンを作り出していた。同社によると、ファイル形式やテクニックを別のものに切り替えることで、検知ツールやセキュリティ・ポリシーを回避できたという。HP が Q2 に分析した QakBot 感染チェーンのうち、合計で 32% がユニークなものだった。
このことから、ネットワーク防御担当者に対して HP Wolf が推奨しているのは、QakBot スパムの様々な組み合わせに対して防御を実現するために、Eメールとエンドポイントでの対策が十分に成されていることの確認である。
HP Wolf の Global Head of Security for Personal Systems である Dr Ian Pratt は、「感染チェーンは様々だが、ユーザーが何かをクリックすることで感染するという、侵入経路は共通している。感染チェーンを推測するのではなく、メールの添付ファイルの開封/リンクのクリック/ブラウザのダウンロードといった危険な行為を、特定/排除すべきである」とコメントしている。
このレポートでは、最近の Aggah キャンペーンの背後にいる攻撃者が、人気のブログ・プラットフォームである Blogspot (Blogger) に、悪意のコードをホストしていることも取り上げている。
ブログの正規のソースに悪意のコードを隠すことで、ユーザーはブログを読んでいるだけなのか、それとも、攻撃が開始されているのかを、防御側が判別することが難しくなる。HP Wolf によると、この脅威アクターは Windows システムに関する知識を利用して、ユーザーのマシンのマルウェア対策機能を無効化し、XWorm や Agent Tesla RAT (Remote Access Trojan) を実行して機密情報を盗むという。
さらに同社は、DNS TXT レコード・クエリを使用して Agent Tesla RAT を配信する、別の Aggah 攻撃も確認している。一般的に、DNS TXT レコード・クエリは、ドメイン名に関する単純な情報にアクセスするために使用される。DNS プロトコルは、セキュリティ・チームに監視/保護されることが少ないため、脅威アクターによる攻撃を検知するのが非常に困難になっている。
同社の報告によると、最新のキャンペーンでは、検知を回避するために複数のプログラミング言語が使用されているという。
HP Wolf の分析は、2023年4〜6月にかけて HP Wolf Security の顧客の仮想マシン内で匿名で収集されたデータに基づいて行われた。
HP Wolf Security Threat Insights Report 2023-Q2 (PDF)
文中の “building blog style attacks” という表現ですが、HP のレポートにはなかったので、”building block” の間違えかとも思いましたが、Blogger での悪意のコードのホストのことを指しているようです。ただし、他でも用いられているのか、InfoSecurity での造語なのかは、分かりません。それにしても、このパッチワーク的な攻撃チェーンというのは、防御側にとって頭の痛い問題ですね。なお、QakBot ですが、2023/08/30 の「FBI, Partners Dismantle Qakbot Infrastructure in Multinational Cyber Takedown」にあるように、複数の国々の協力によりテイクダウンに至ったとのことです。
IoT OT Security News 
You must be logged in to post a comment.