Qakbotとは？

Qakbot (AKA Qbot or Pinkslipbot)は、バックドア機能を備えたモジュール型のセカンドステージのマルウェアで、当初はクレデンシャル窃盗を目的としており、CISAによって2021年のトップマルウェア株の1つとして指摘されています。バンキング型トロイの木馬、ワーム、リモートアクセス型トロイの木馬（RAT）に分類されるQakbotは、機密データを盗み出し、ネットワーク上の他のシステムに自己増殖を試みます。Qakbotはまた、リモートコード実行（RCE）機能を提供し、攻撃者が侵害されたネットワークのスキャンやランサムウェアの注入などの二次的な目的を達成するために手動で攻撃を実行することを可能にします。

Qakbot は、REvil、ProLock、Lockbit などのランサムウェアギャングによって使用され、大物を狩るランサムウェアの系統をいくつか配布しています。Qakbotの多くのモジュールは、金融データ、ローカルに保存された電子メール、システムパスワードまたはパスワードハッシュ、ウェブサイトパスワード、ウェブブラウザキャッシュのクッキーを自動的にターゲットにすることもできます。また、入力された認証情報を盗むためにキー入力を記録することもできる。

2008年に発見されたQakbotは、その存続期間中に絶え間なくアップデートが行われており、その利用はアップデートサイクルによって変動しています。2015年に更新版が利用可能になった後、Qakbotは新たな勢いを増し、2020年には、新種のQakbot株のリリースにより、サイバー攻撃におけるQakbotのシェアが前年比で465%増加したと脅威研究者は指摘しています。2021年、QakbotはJBSの著名なサイバー侵害に利用され、同社の食肉生産施設を妨害し、1,100万ドルの身代金の支払いを余儀なくされました。

Qakbot最新ニュース

マルウェアの "スイスアーミーナイフ"、QakbotのFBIと司法省によるテイクダウンの内幕(BlackBerry Blogs)
QakBot の脅威はまだ活動中、最新の攻撃で Ransom Knight と Remcos RAT を使用(The Hacker News)
FBI、多国籍サイバーテイクダウンでQakbotインフラを解体（FBI.gov）
macOSとWindowsを狙うサイバー攻撃(BlackBerry ブログ)

Qakbotの仕組み

セカンドステージのエクスプロイトキットであるQakbotは、ファーストステージのダウンローダー型マルウェアによってターゲットのシステムに侵入します。初期アクセスの侵害は、トロイの木馬化されたドキュメントを使用したマルスパムや電子メールによるフィッシング、一般公開されている脆弱性の悪用、悪意のあるインサイダー攻撃など、さまざまな手法で発生します。

Qakbotはターゲット・システム上で動作すると、Microsoft PowerShellとMimikatzエクスプロイト・キットを使って認証情報を盗み出し、ネットワーク上の他のホストに拡散しようとする。

Qakbotは、被害者から機密情報を盗むためにいくつかのテクニックを使用します：

キー入力を監視し、攻撃者が管理するシステムにログを送信する。
保存されたパスワード・ハッシュを特定するためのシステム・ファイルの列挙
ブラウザのパスワード・キャッシュを検索し、ブラウザのオートフィル機能を使って保存されたパスワードを盗む。

カクボット攻撃の兆候

第二段階のマルウェアとして、Qakbot の戦略の一部はステルス性です。検出を回避するため、Qakbotはローカルシステム環境を評価し、仮想化が検出された場合や、特定のセキュリティ製品やWindowsレジストリキーが存在する場合など、一部のシナリオではペイロードの復号化や実行を行いません。これによりQakbotは、セキュリティ研究者が迅速にペイロードを入手して分析することを防ぎ、その機能を隠蔽することができます。Qakbotのもう1つのステルス戦略は、正規のアプリケーションプロセスに自身を注入（またはピギーバック）することです。

Windows レジストリの未承認の実行キーは、Qakbot の侵害を示す可能性のある指標の 1 つです。レジストリの実行キーは、ユーザーがログオンしたときにプログラムを自動的に実行するために使用されます：Qakbotは、システム上で永続的に自動起動するためのエントリを作成します。Qakbotはまた、既知の侵害指標（IOC）を隠すために、公表されたセキュリティリサーチに応じて更新されることも珍しくありません。

Qakbot攻撃を防ぐ方法

Qakbot 感染を防ぐ最も効果的な方法は、攻撃者による最初のアクセスを阻止し、すでに最初のアクセスを獲得している場合は、Qakbot がネットワークを通じて拡散するのを阻止することです。

Qakbotの初回アクセスを防ぐための防御戦術

フィッシングの手口について担当者を教育するためのユーザー意識向上トレーニングを検討し、疑わしい電子メールや文書の取り扱いに関する標準的な操作手順を策定する。
社外から送信された電子メールをユーザーに通知するように電子メールクライアントを設定し、パスワードで保護されたすべての.zipファイルの添付ファイルをブロックする。
VBAマクロの実行をブロックするようにMicrosoft Officeアプリケーションを設定する
一般向けサービスの脆弱性を定期的にスキャンし、速やかに修正する脆弱性管理プログラムを開発・維持する。
OSやアプリケーションのアップデートやセキュリティパッチが提供されたら、できるだけ早くインストールする。

カクボットの横移動を防ぐディフェンス戦術

最小特権の原則に基づく強力なアクセス制御の導入
強力なキースペースを義務付けるパスワード・ポリシーを施行し、侵入されたパスワード・ハッシュがオフラインでクラックされる可能性を減らす。
定期的な脆弱性スキャンを実施し、特定された脆弱性を修正する。
IDSや次世代ファイアウォールなどのネットワークセキュリティアプライアンスを使用し、ネットワークをさらに強化し、重要なシステムを別のVLANやWindowsドメインにセグメント化する。
暗号化された文書を暗号化解除直後にスキャンし、ネットワークとそのエンドポイント上のIOCを識別するエンドポイントセキュリティ製品をインストールし、設定する。
重要なシステムを優先して、可能な限りゼロ・トラスト・ソリューションを導入する。

CylanceGUARD マルウェア対策

人間中心のサブスクリプション型24時間365日マネージドXDRサービス、 CylanceGUARD^®CylanceGUARD は、ランサムウェア攻撃を防止・防御するために企業が必要とする専門知識とサポートを提供します。 BlackBerry Cybersecurity ServicesによるAIベースのエンドポイントプロテクション（EPP）と組み合わせています。 CylancePROTECT^®を通じた継続的な認証と分析 CylancePERSONA^™による継続的な認証と分析、そして CylanceOPTICS^®.つまり、CylanceGUARD は、現代の脅威環境から企業を保護するために必要な人材とテクノロジーをビジネスに提供します。

詳細はこちら

Qakbotマルウェア