過去数年間、Microsoft はインターネットからダウンロードした Office ファイル内でのマクロの実行を最近禁止するなど、マルウェアと闘い、その大混乱を防ぐための措置を講じるという称賛に値する仕事をしてきましたが、脅威アクターは常に次のことを見つけているようです。悪名高い Qbot マルウェアが、Microsoft の最新のマルウェアに対して効果を維持できるように進化しました。
Black Lotus Labs が実施した調査によると、Qbot マルウェアは 10 年以上前にバンキング型トロイの木馬として始まり、配布ネットワーク、展開方法、コマンド アンド コントロール (C2) を急速に適応させました。 ) サーバーは Microsoft の変更に応じて変更されます。さらに、脅威アクターは、悪意のある OneNote ファイルの使用、Web のマークの回避、HTML 密輸など、フィッシング キャンペーンの初期アクセスに新しい手法を導入しています。
「Qakbot は、機知に富んだアプローチを採用することで回復力を示しています。」アーキテクチャの構築と開発において、さまざまな初期アクセス方法を採用し、堅牢でありながら回避的な住宅用 C2 アーキテクチャを維持することで、技術的な専門知識を実証しています。」とレポートには記載されています。
適応性の向上
新しい展開方法に加えて、Qbot オペレーターは変更を加えました攻撃者はホスト型仮想プライベート サーバー (VPS) に依存する代わりに、C2 サーバーを侵害された Web サーバーおよび住宅 IP 空間のホスト内に隠すようになりました。このアプローチではサーバーの寿命が短くなりますが、ハッカーは新しいサーバーをすぐに入手できます。スパム サイクル中は、毎週約 90 の新しい C2 サーバーが起動されます。
さらに、ボットを C2 サーバーに変換することは、Qbot の運用にとって非常に重要です。これは、これらのサーバーの 25% 以上が 1 日アクティブであり、半数は 1 週間を超えると存続できないためです。したがって、変換されたボットは、C2 サーバーの供給を補充する上で重要な役割を果たします。
さらに悪いことに、レポートでは、このマルウェアは予見可能な将来にわたって重大な脅威として存続すると述べています。 「現時点では Qakbot の速度が低下する兆候はありません。」
