マルチライセンス割引
Computer Security QakBot マルウェア オペレーターが 15 台の新しい C2 サーバーの急増で脅威を増幅

QakBot マルウェア オペレーターが 15 台の新しい C2 サーバーの急増で脅威を増幅

Computer SecurityChanceまで
翻訳内容:
日本語

最近の展開として、QakBot (QBot としても知られる) マルウェアの背後にいるグループは、2023 年 6 月末までに 15 台のコマンドアンドコントロール (C2) サーバーからなる新たなネットワークを確立しました。この観察は、マルウェアの継続的な調査に基づいています。インフラストラクチャは Team Cymru によって実施されます。注目すべきことに、この拡張は、C2 サーバーの 4 分の 1 が 1 日だけ稼働し続けていることを明らかにした Lumen Black Lotus Labs による暴露の直後に続き、 QakBotの運用の動的でとらえどころのない性質に光を当てています。

QakBot は伝統的に夏の間にダウンタイムが延長するパターンを示しており、通常は 9 月に再浮上します。サイバーセキュリティ会社によると、今年、スパム活動は2023年6月22日頃に停止したという。ただし、QakBot オペレーターがこのダウンタイムを休暇として利用するのか、それともインフラストラクチャやツールの改良と更新に利用するのかはまだわかりません。

優れたインフラストラクチャの導入

Emotet や I cedIDマルウェアで観察されたアーキテクチャと同様に、QakBot のコマンド アンド コントロール (C2) ネットワークは多層構造を示します。この構成内で、C2 ノードは、ロシアの仮想プライベート サーバー (VPS) プロバイダーでホストされている上位レベルの Tier 2 (T2) C2 ノードと通信します。侵害された被害ホストと通信するほとんどのボット C2 サーバーは、主に米国とインドにあります。 T2 ノードからのアウトバウンド接続を分析すると、宛先 IP アドレスが米国、インド、メキシコ、ベネズエラにあることがわかります。 C2 ノードおよび T2 ノードと並んで、BackConnect (BC) サーバーは侵害されたボットをプロキシに変換し、さまざまな悪意のあるアクティビティに対応できるようにします。この複雑なネットワーク アーキテクチャは、複数の地理的場所にわたって運用を調整し、感染したシステムを効果的に管理および制御する能力を強化するという QakBot の取り組みを強調しています。

サイバー脅威とマルウェアの文脈において、Tier 2 C2 ノードは、多層アーキテクチャ内のコマンドアンドコントロール インフラストラクチャの中間レベルを指します。 QakBot、Emotet、IcedID などの高度なマルウェアは、多くの場合、このアーキテクチャを採用しています。 Tier 2 C2 ノードは、メインのコマンドアンドコントロール サーバー (Tier 1) と侵害されたデバイスまたはボット (エンドポイント) の間の仲介者です。

Tier 2 ノードの目的は、マルウェアの通信ネットワークの回復力とステルス性を強化することです。これらは、中央の C2 サーバーから Tier 2 ノードのネットワークにコマンドと制御信号を配布するのに役立ち、Tier 2 ノードはこれらの命令を侵害された個々のデバイスに中継します。この階層的な設定により、セキュリティ アナリストが悪意のあるアクティビティをメインの C2 サーバーまで追跡することが難しくなり、マルウェアが検出や削除を回避する可能性が高まります。

Tier 2 C2 ノードは、ドメイン生成アルゴリズムや高速フラックス ネットワークなどのさまざまな技術を使用して侵害されたデバイスと通信することが多く、マルウェアの通信チャネルをブロックまたはオフにする取り組みがさらに複雑になります。脅威アクターは、Tier 2 C2 ノードを使用してボットネットの制御を維持し、悪意のある操作の実行を促進しながら、中央サーバーと感染したデバイス間の直接通信に伴うリスクを最小限に抑えます。

C2サーバーが悪用される

Team Cymru が発表した最新の調査結果では、T2 層と交信する既存の C2 の数が顕著に減少していることが明らかになりました。現在残り 8 つしかありませんが、この減少は、2023 年 5 月に上位層インフラストラクチャのヌルルーティングを行った Black Lotus Labs の行動に部分的に起因しています。同社は、インドの C2 からのトラフィックが大幅に減少し、6 月頃に米国の C2 がほぼ消滅したことを観察しました。 2、これは T2 層のヌルルーティングに関連付けられています。 15 台の C2 サーバーに加えて、6 月以前にアクティブになっていた 6 台の既存の C2 サーバーと、6 月に新たにアクティブになった 2 台の C2 サーバーは、スパム活動の停止後も 7 月を通じて継続的なアクティビティを示しました。

NetFlow データをさらに精査すると、アウトバウンド T2 接続の増加が、インバウンド ボット C2 接続のスパイクの後に続くという繰り返しのパターンがわかります。さらに、アウトバウンド T2 接続の急増は、ボット C2 アクティビティの低下と同時に発生することがよくあります。 Team Cymru は、QakBot が T2 通信を備えた C2 インフラストラクチャとして被害者を採用することにより、ユーザーに二重の負担を課していることを強調しました。まず、最初の侵害を通じて、次にホストが悪意があると公的に認識された場合に評判が損なわれる可能性を通じてです。同社は、上流サーバーとの通信を遮断することで、被害者はC2命令を受け取ることができなくなり、現在および将来のユーザーを侵害から効果的に保護できると強調した。

QakBotについて

QakBot (QBot としても知られる) は、2007 年頃から悪名高いバンキング トロイの木馬および情報窃取マルウェアとして知られています。主に Windows オペレーティング システムをターゲットにしており、感染したコンピュータから銀行の資格情報、クレジット カードの詳細などの機密の金融情報を盗むように設計されています。個人データ。 QakBot は通常、悪意のある電子メールの添付ファイル、リンク、または感染した Web サイトを通じて侵入します。システムにインストールされると、コマンドアンドコントロール (C2) サーバーに接続できるようになり、ハッカーが感染したマシンを制御し、盗まれたデータをリモートで抽出できるようになります。 QakBot は長年にわたり高度な洗練性を実証し、検出やセキュリティ対策を回避する技術を絶えず進化させてきました。また、ネットワーク共有を通じて拡散し、脆弱性を悪用してネットワーク内に伝播する可能性もあります。全体として、QakBot は機密情報を盗み、経済的損失を引き起こす可能性があるため、個人や組織にとって重大な脅威です。

QakBot マルウェア オペレーターが 15 台の新しい C2 サーバーの急増で脅威を増幅スクリーンショット

読み込んでいます...