PikaBot マルウェア

Infosec の研究者は、PikaBot マルウェアを組み込んだ高度に洗練されたフィッシング キャンペーンを検出しました。これは、 Qakbot の活動が解体されて以来、最も高度なフィッシング活動であるとマークされています。この詐欺メールキャンペーンは、FBI が QBot (Qakbot) インフラストラクチャの押収と停止に成功したことを受けて、2023 年 9 月に始まりました。

研究者らによると、PikaBot が登場する以前の攻撃キャンペーンでは主にDark Gateと呼ばれる脅威が利用されていました。攻撃者が使用した手口やテクニックは、以前の Qakbot キャンペーンで見られたものとよく似ており、Qbot の脅威アクターが新しいマルウェア ボットネットに移行していることを示唆しています。

Qbot は、電子メールを介して拡散されたマルウェア ボットネットの中で最も広く普及しているものの 1 つです。現在、モジュール式マルウェア ローダーとしてQbotと多くの機能を共有する DarkGate と PikaBot は、企業にとって重大な脅威となっています。 Qbot と同様に、これらの新しいマルウェア ローダーは、ネットワークへの最初のアクセスを取得するために脅威アクターによって使用されると予想されており、ランサムウェア、スパイ行為、データ盗難攻撃につながる可能性があります。

PikaBot はフィッシング攻撃によって配信される

Infosec の研究者は、DarkGate マルウェアを伝播する詐欺関連メールの大幅な急増を観察しており、2023 年 10 月以降、脅威アクターはプライマリ ペイロードとして PikaBot の導入に移行しています。フィッシング キャンペーンは、盗まれたディスカッションへの返信または転送を装ったメールから始まります。スレッド、受信者間の信頼を育むことを目的とした戦術。

埋め込まれた URL をクリックすると、ユーザーはターゲットとしての正当性を確認するための一連のチェックを受け、その後、マルウェア ドロッパーが含まれる ZIP アーカイブをダウンロードするよう求められます。このドロッパーは、リモート リソースから最終ペイロードを取得します。

攻撃者は、有効性を判断するために、次のようなさまざまな初期マルウェア ドロッパーを実験しました。

• JavaScript ドロッパー (JS ドロッパー) は、PE または DLL をダウンロードして実行するために設計されています。
• XLL ファイル作成を目的としたオープンソース プロジェクトを活用した Excel-DNA ローダー。ここではマルウェアのダウンロードと実行に悪用されています。
• Microsoft Office ドキュメント内の .vbs ファイルを通じてマルウェアを実行したり、コマンド ライン実行可能ファイルを呼び出したりできる VBS (Virtual Basic Script) ダウンローダー。
• Microsoft ショートカット ファイル (.lnk) を悪用してマルウェアをダウンロードして実行する LNK ダウンローダー。

2023 年 9 月を通じて、DarkGate マルウェアがこれらの攻撃の最終ペイロードとして機能しましたが、その後 2023 年 10 月に PikaBot に置き換えられました。

PikaBotには徹底した解析対策が施されている

2023 年初頭に導入された PikaBot は、ローダーとコア モジュールで構成され、強力なアンチデバッグ、アンチ VM、アンチエミュレーション メカニズムを備えた現代のマルウェアです。このマルウェアは、感染したシステムを注意深くプロファイリングし、収集したデータをコマンド アンド コントロール (C2) インフラストラクチャに送信し、そこでさらなる指示を待ちます。

C2 は、DLL または PE ファイル、シェルコード、またはコマンドライン コマンドの形式で利用可能なモジュールをダウンロードして実行するようマルウェアに指示するコマンドを発行し、ツールとしての多用途性を示します。

研究者らは、PikaBot と DarkGate のキャンペーンは、典型的なフィッシング詐欺師のスキルを上回る熟練した攻撃者によって組織化されていると警告しています。したがって、組織は、このキャンペーンに関連する戦術、技術、手順 (TTP) をよく理解することが求められます。