2023 年の夏に多国籍法執行機関のおとり捜査でそのインフラが押収され解体されたにもかかわらず、世界で最も危険なランサムウェアの一部がリモート アクセス トロイの木馬 (RAT) として使用した Qakbot マルウェアは再び活発に開発されているようだという。ソフォスの研究者による新しいインテリジェンスを提供します。
2000 年代後半に出現した Qakbot は、地下のサイバー犯罪者が利用できる最も確立された人気のあるツールの 1 つであり、その存続期間中、バンキング トロイの木馬や資格情報窃取など、さまざまな方法で使用されていました。
昨年のダックハント作戦での失墜では、米国の FBI がインフラストラクチャにアクセスして破壊し、マルウェアをアンインストールするためのファイルを配布しました。 連邦捜査官らはまた、数百万ドル相当の違法暗号資産を押収した。
しかし、ダックハント作戦は偉大な勝利として称賛されたものの、サイバーセキュリティの専門家らは、その背後にある脅威アクターがまだ野放しであると指摘し、祝賀ムードを和らげた。
Lumu Technologies の創設者兼 CEO、Ricado Villadiego 氏は Computer Weekly に寄稿し、次のように述べています。「Qbot や Emotet のようなボットネットは、同様の小規模な削除作戦を実行する前に回復力があることが証明されていますが、これが致命的な打撃となったかどうかはまだわかりません。クアクボット。」
現在、ソフォスの X-Ops 研究チームは、2023 年 12 月に出現した Qakbot マルウェアの新しい亜種のサンプルを分析していると述べています。
「Qakbot ボットネット インフラストラクチャの閉鎖は勝利でしたが、ボットの作成者は依然として自由であり、Qakbot の元のソース コードにアクセスできる何者かが新しいビルドを実験し、これらの最新の亜種を使用して水をテストしています」と Sophos X-Ops は述べています。主任研究員アンドリュー・ブラント氏。
研究チームはとりわけ、Qakbotのオペレーターがマルウェアの暗号化を強化するために「一致した努力」を行っており、防御者や研究者がそのソースコードを分析することを困難にしていると述べた。
また、開発者が以前よりもはるかに強力な方法を使用してマルウェアとコマンド&コントロール (C2) サーバー間のすべての通信を暗号化し、仮想環境またはサンドボックスで Qakbot が実行されないようにする機能を再導入しているという証拠も発見しました。 – 分析を無視するもう 1 つのテクニック。
「おそらく、Qakbot の進化は、その作成者が刑事訴追されるまで続くでしょう。 良いニュースは、今のところ、これらの新しい Qakbot 亜種は、エンドポイント検出ソフトウェアで以前に作成されたシグネチャを使用して簡単に検出およびブロックできることです」と Brandt 氏は電子メールでのコメントで Computer Weekly に語った。
ブラント氏は、新しいQakbotのサンプルはこれまでのところわずかしか流出していないものの、このボットネットは一時非常に大規模で、広く使われていたため、何者かがそれを復活させようとしている可能性を示唆する活動には厳重な監視が必要だと述べた。
ソフォスの X-Ops チームは、アップグレードされた暗号化機能の詳細を含む、新しい Qakbot に関する作業の詳細を Mastodon 経由で公開しました。