多くの脅威は外部からの電子メールとして侵入する傾向が、MDR(Managed Detection and Response)を通じて明らかになっています。脅威の侵入のための攻撃メールには通常、フィッシングサイトへのリンク、有害な添付ファイル、そして本文には受信者を騙して操ろうとする指示の内容が含まれていることがあります。しかしトレンドマイクロがメールのメタデータを毎日調査する中で、受信のメールボックスからではなく、ユーザ自身の送信済みアイテムフォルダから脅威が検出されることもよくあります。これは、自身のメールアカウントが乗っ取られたことにユーザが気づいておらず、攻撃者によるメール送信の踏み台にされた可能性を示唆します。そのような事例の一つとして、ある侵害されたメールが、「QAKBOT」を拡散するメールに関係していることを確認しました。
「QAKBOT(別名QBOT)」は、2007年に初めて確認されたマルチコンポーネントの情報窃取型マルウェアです。長期にわたり活動を継続している他のマルウェアと同様に、QAKBOTは定期的に更新されており、活動の活発化と収束を繰り返しています。2011年には拡散技術に変革を加え、2016年に活動の活発化が見られました。また2019年には様々なマルウェア活動での利用が見られるパスワード窃取ツールMimikatzの利用も確認されています。2020年に入り、トレンドマイクロではQAKBOTの活動活発化を示唆する数々のイベントを確認しました。1月には、メール送信(SMTP)の活動の追加、また5月には、QAKBOTとProLockランサムウェアを組み合わせた事例が他のセキュリティ団体により確認されています。また、トレンドマイクロのクラウド型セキュリティ技術基盤である「Smart Protection Network(SPN)」の統計では、QAKBOTの検出が全体的に増加していることを示しています。特定のQAKBOT亜種「Backdoor.Win32.QBOT.SMTH」の検出数の著しい増加も、4月上旬に観測されています。なお、この検出の集計対象はQAKBOTの活動の一部であることに留意してください。全体像はより大きなものになると言えます。
■QAKBOT検出数推移
2020年1月から5月の第3週までの間に、合計3,893のQAKBOTが検出されました。1月には1,400を超える急増が見られ、2月と3月には落ち着いたものの4月には再び1,000余りを検出しました。5月のデータも、まだ月が終わっていない5月25日時点で679と、非常に多くなっています。
上記のQAKBOTの検出を産業別に見てみると、ヘルスケア業界、製造業、政府機関の3つの業界が上位に入っていました。
(2020年1月~5月25日)
検出国については、タイでの検出数が最も多く、中国、米国と続いています。中国と米国は、すべての月で一貫して上位3位に入っています。また、5月にはドイツでの急増が確認されました。
■ QAKBOT亜種「Backdoor.Win32.QBOT.SMTH」の急増
2020年初頭にはあまり活発でなかった「Backdoor.Win32.QBOT.SMTH」は、4月9日から徐々に検出され始めました。検出台数434件のうち、最も多くを占めたのは4月19日から23日の間で、 単日では4月22日が最も高く、91件でした。
(5月は25日までの集計)
中でも最も多く検出された産業はヘルスケア業界でした。
(2020年1月~5月25日)
記録された検出のほぼ半数が、米国での検出です。 オーストラリア、中国がそれに続きます。
(2020年1月~5月25日)
QAKBOTは、ネットワーク共有、リムーバブルドライブ、またはソフトウェアの脆弱性を介して拡散することが知られています。トレンドマイクロが最近確認した事例は、不正なリンクを埋め込んだ電子メールによって感染するものでした。リンクをクリックすると、VBSファイル(「Trojan.VBS.QAKBOT.SM」として検出)が含まれるzipファイルがダウンロードされ、次に不正な実行ファイル(「Backdoor.Win32.QBOT.SMTH」として検出)がダウンロードされます。
最近のQAKBOT亜種も、その挙動と暗号化の点が以前のQAKBOTに似ています。以前のバージョンと同様に、自動実行レジストリとスケジュールされたタスクを作成することで、活動を持続させます。
■QAKBOT亜種の拡散と不正活動
このQAKBOTは、QAKBOTをホストしている侵害されたWebサイトへと誘導するリンクが埋め込まれたメールを介して拡散します。利用されているメールは、ビジネス上のメールへの返信を偽装した、古いメールを転送したもののように見えます。 大抵、送信者の名前とメールアドレスは一致していません。
メールには、以下のように、一定のパターンが確認できるURLが含まれています。
- {侵害されたWebサイト}/differ/ …
- {侵害されたWebサイト}/docs_{3文字}/{数字} …
- {侵害されたWebサイト}/wp-content/plugins/advanced-ads-genesis/docs_{3 文字}/ …
- {侵害されたWebサイト}/wp-content/themes/calliope/docs_{3文字}/ …
- {侵害されたWebサイト}/wp-content/themes/mapro/pump/ …
- {侵害されたWebサイト}/wp-content/uploads/2020/04/evolving/ …
リンクをクリックすると、zipファイルがダウンロードされます。URLと同様、ファイル名も特定のパターンに従って名付けられています。
- {数字}.zip
- Buy-Sell Agreement_{数字}_{日付}.zip
- Judgement_{日付}_{数字}.zip
もっと最近確認されたメールでは、上記とは異なる以下のようなパターンによって名付けられています。
- EmploymentVerification_{数字}_{日付}.zip
- LoanAgreement_{数字}_{日付}.zip
ある亜種では、「NUM_56960.vbs」という名前のVBSファイルがzipファイルに含まれていました。ファイルのサイズは約30MBです。ファイルスキャナは通常、パフォーマンス上の理由から巨大なファイルのスキャンをスキップするので、ファイルサイズを大きくすることによって検出回避を狙ったものと考えられます。このVBSファイルは、不正な実行ファイル「PaintHelper.exe」をダウンロードします。
QAKBOTには、自身が解析されているか、仮想マシンで実行されているかどうかをチェックするプロセスがあります。システムに次のいずれかが存在する場合、マルウェアは活動を続行しません。
解析ツール
- AvastSvc.exe
- avgcsrva.exe
- avgsvcx.exe
- avp.exe
- bdagent.exe
- ByteFence.exe
- ccSvcHst.exe
- cmdagent.exe
- coreServiceShell.exe
- egui.exe
- ekrn.exe
- fmon.exe
- fshoster32.exe
- isesrv.exe
- mbamgui.exe
- MBAMService.exe
- mcshield.exe
- MsMpEng.exe
- NTRTScan.exe
- PccNTMon.exe
- SAVAdminService.exe
- SavService.exe
- vgcsrvx.exe
- vkise.exe
- vsserv.exe
- vsservppl.exe
- windump.exe
- WRSA.exe
サンドボックス
- CWSandbox
- QEMU
- SbieDll.dll
- VBox
- Vmtoolsd.exe
- VMWare
活動を続行する場合、%AppData%\Microsoft\{ランダムな名前}\に自身のコンポーネントのためのフォルダを作成します。次に、自身を%AppData%\Microsoft\{ランダムな名前}\{ランダム}.exeにコピーして、自動実行を作成します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
{ランダム} = %APPDATA%\Microsoft\{ランダムな名前}\{ランダム}.exe
また、以下を介してスケジュールされたタスクを作成します。
- “C:\Windows\system32\schtasks.exe” /create /tn {8BAD047B-4889-4161-9D32-63F25CBFC779} /tr “”{マルウェアのパス}\{マルウェアの名前}”” /sc HOURLY /mo 5 /F
マルウェアのコピーは、他の場所にも配置されます。
- %ProgramData%\{ランダム}.exe
- %TEMP%\{ランダム}.exe
- %User%\{ランダム.exe}
インストール後、QAKBOTは次のプロセスのいずれかに自身をインジェクトし、メモリに常駐します。
- explorer.exe
- Iexplore.exe
- Mobsync.exe
マルウェアは、ドメイン生成アルゴリズム(DGA)といくつかのハードコードされたコマンド&コントロール(C&C)サーバの両方を備えています。DGAのルーチンは、ランダムなIPとポートの組み合わせでアクセスを試行し、接続に成功すると、POSTコマンドに進みます。
マルウェアのコードは、古いQAKBOTがそうであったように、他のコンポーネントをダウンロードできるようにするPowerShellルーチンの存在を示しています。これは、マルウェアのインストール以外の活動は、通常、C&Cサーバからダウンロードされた別のコンポーネントを介してロードされ実行されることを意味します。
■被害に遭わないためには
旧知のマルウェアが、新しい、より洗練されたものとなって絶えず復活する脅威に対抗するためには、未知の脅威への対処と同様に、高度な検出、および迅速な対処を可能とするソリューションが必要です。
今回解説したQAKBOT亜種や他の電子メールを介して拡散するマルウェアの感染を防ぐためには、次のベストプラクティスに従ってください。
- 送信者およびメールの内容を確認せずに、添付ファイルをダウンロードしたり、電子メールの埋め込みリンクをクリックしたりしないこと
- クリックする前に埋め込みリンク上にポインタを置くことで表示されるリンク先のURLを確認すること
- 送信者を確認すること。見慣れないメールアドレス、メールアドレスと送信者名の不一致、正規の企業や組織になりすましたメールなどは、不正なメールであることを示す兆候であると認識すること
- メールが正当な企業組織からのものに見える場合でも、添付ファイルを開いたりリンクをクリックしたりする前に、該当する企業組織にメールを送信したかどうか確認すること
ユーザは、高度な人工知能を利用して脅威の関連付けおよび優先順位付けを行うことによって、その脅威がより大きな攻撃の一部であるかどうかを判断することを可能にするMDRにより、システムを保護することができます。MDRによって、実行される前に脅威を検出できるため、それ以上の侵害を防ぐことができます。
■侵入の痕跡(Indicators of Compromise 、IoCs)
侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。
調査協力:Miguel Ang、Monte De Jesus、Jesus Titular、Catherine Loveria
参考記事:
- 「QAKBOT Resurges, Spreads through VBS Files」
By Erika Mendoza, Ian Lagrazon, and Gilbert Sison
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)