検索:
ホーム   »   QAKBOT

ランサムウェアスポットライト:REvil/Sodinokibi

  • 投稿日:2022年4月14日
  • 脅威カテゴリ:ランサムウェア
  • 執筆:Trend Micro
0

REvilの時代が終わりを迎えた今こそ、ランサムウェア攻撃に対する戦略を練り直す時です。REvilの戦術から何を学ぶことができるでしょうか。本記事では、同グループが用いたテクニックを分析し、その台頭から凋落までを見直した上で、今後の展望を提言します。

REvil(別名:Sodinokibi)は、RaaS(Ransomware as a Service)のスキームを採用しており、2019年の登場以来、派手な攻撃で悪名を馳せました。REvilに限らず、RaaSによるランサムウェア攻撃は2021年にも留まることを知りませんでした。同年5月には有名なRaaSであるランサムウェア「Darkside」が石油パイプライン会社を攻撃し、米国でガス供給不足を引き起こしたことから法執行機関の注目を集め、REvilも運営停止が公式発表されました。そしてこの取り締まりの結果、最終的に攻撃者が2人逮捕され、TORネットワークが閉鎖されました。しかしながら、油断は禁物です。REvilという「ブランド」に傷が付き、関係者を集めることが難しくなった今、このグループは新たな名称で復活することが予想されます。

それまでの間は、この悪名高いランサムウェアの運営について理解を深め、戦略の立て直しを図るのに良い機会です。

(さらに…)

続きを読む
Tags: ランサムウェアサプライチェーン攻撃BlackMatterDARKSIDEDDoSGandCrabKPOT StealerMimikazQAKBOTRaaSREvilUNKNWater Mare

ファイルレスマルウェアQAKBOTを攻撃対象にステージャーとして永続化させる攻撃手口を解説

  • 投稿日:2022年1月26日
  • 脅威カテゴリ:サイバー攻撃, 脆弱性
  • 執筆:Trend Micro
0

トレンドマイクロでは、最近、中東地域のスパム攻撃キャンペーンにおいて、2つのエクスプロイトを使用したローダ型マルウェア「Squirrelwaffle」の存在を確認しました。そしてトレンドマイクロのインシデントレスポンスおよびXDRチームの監視と分析により、ペイロードの1つとして、2007年からサイバー犯罪者による使用が確認されている情報窃取型バンキングマルウェア「QAKBOT」の存在が明らかになりました。

調査を続けるなかで、ファイルレスの手法を備えたQAKBOTがステージャーとして感染端末上での永続性を保持することが確認されました。さらに、QAKBOTがペイロードの一つとしてレジストリ上でファイルレスにステージングする一方で、他の複数のマルウェアをステージングすることも可能なことから、今後、より多くの攻撃キャンペーンに悪用されることが懸念されます。

(さらに…)

続きを読む
Tags: ファイルレス活動PowerShellQAKBOTSquirrelwaffle

休止と再開を繰り返す「QAKBOT」の新たな攻撃手法

  • 投稿日:2021年11月29日
  • 脅威カテゴリ:不正プログラム, スパムメール
  • 執筆:Trend Micro
0

「QAKBOT(別名QBOT)」は広範囲に流行している情報窃取型マルウェアで、2007年に初めて確認されました。近年では、QAKBOTの検出が、多くの深刻なランサムウェア攻撃の前兆となっていることが確認されています。QAKBOTは、今日の多くのサイバー攻撃活動を可能にしているビジネス「マルウェアをインストールするサービス(malware installation-as-a-service)」の主力ボットネットであることもわかっています。このような初段の侵入で使用されるボットは、数カ月月単位で活動休止する場合があることが知られています。今年1月末のテイクダウンから10カ月月振りにEMOTETが活動を再開したことは11月18日の記事でお伝えしていますが、本記事で取り上げるQAKBOTも、約3カ月の休止期間を経て、2021年9月末からスパムメール送信活動の再開が確認されました。具体的には、マルウェアスパムの配信業者である「TR」が、別のマルウェアローダーである「SquirrelWaffle」やQAKBOTへ誘導する悪質なスパムメールを送信していたことが確認されています。また、10月上旬には、同じ「TR」がIMAP(Internet Message Access Protocol)サービスにブルートフォース攻撃を実行していたと報告されており、セキュリティリサーチャーの間では、「TR」が攻撃に必要な認証情報を取得するために「ProxyLogon」(Microsoft Exchange Serverの脆弱性)を使っているのではないかという憶測も流れています。

図1: QAKBOT関連のマルウェアスパムの検出推移(2021年5月10日~10月25日)
6月下旬から9月中旬までマルウェアスパムが出回っていなかったことがわかる

(さらに…)

続きを読む
Tags: 不正マクロmalware installation-as-a-serviceQAKBOTQBOT

ランサムウェア「Egregor」を操るサイバー犯罪グループのメンバーが逮捕

  • 投稿日:2021年4月1日
  • 脅威カテゴリ:その他, 速報
  • 執筆:Trend Micro
0

フランスおよびウクライナ当局によって2021年2月に実行された取り締まりにより、ランサムウェア「Egregor(エグレガー)」を操る「ランサムウェアカルテル」のメンバー3人が、ウクライナで逮捕されました。今回の逮捕にはトレンドマイクロを含め複数のサイバーセキュリティ企業が法執行機関に協力しており、官民連携の1つの成果と言えます。

(さらに…)

続きを読む
Tags: 二重の脅迫ランサムウェアEgregorQAKBOTRaaSRaaS、ランサムウェア、暗号化型ランサムウェア、サービスとしてのランサムウェアRDP

QAKBOTが活発化、VBS利用による拡散を確認

  • 投稿日:2020年6月25日
  • 脅威カテゴリ:メール, ボットウイルス
  • 執筆:Trend Micro
0

多くの脅威は外部からの電子メールとして侵入する傾向が、MDR(Managed Detection and Response)を通じて明らかになっています。脅威の侵入のための攻撃メールには通常、フィッシングサイトへのリンク、有害な添付ファイル、そして本文には受信者を騙して操ろうとする指示の内容が含まれていることがあります。しかしトレンドマイクロがメールのメタデータを毎日調査する中で、受信のメールボックスからではなく、ユーザ自身の送信済みアイテムフォルダから脅威が検出されることもよくあります。これは、自身のメールアカウントが乗っ取られたことにユーザが気づいておらず、攻撃者によるメール送信の踏み台にされた可能性を示唆します。そのような事例の一つとして、ある侵害されたメールが、「QAKBOT」を拡散するメールに関係していることを確認しました。 (さらに…)

続きを読む
Tags: QAKBOTVBS


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.