Qbot malware

「QakNote」と呼ばれる新しい QBot マルウェア キャンペーンが先週から実環境で観測されており、悪意のある Microsoft OneNote の「.one」添付ファイルを使用してシステムにバンキング型トロイの木馬を感染させています。

Qbot (別名 QakBot) は、デバイスへの初期アクセスを取得することに特化したマルウェアに進化した元バンキング型トロイの木馬であり、攻撃者が侵入先のマシンに追加のマルウェアをロードして、ネットワーク全体でデータ窃盗、ランサムウェア、またはその他の活動を実行できるようにします。

フィッシング メールに含まれる OneNote の添付ファイルは、Microsoft が 2022 年 7 月に無効にした Office ドキュメントの悪意のあるマクロに代わる新しい攻撃ベクトルとして先月出現し、標的のデバイスでコードを実行するための選択肢が少なくなりました。

攻撃者は、VBS 添付ファイルや LNK ファイルなど、悪意のある OneNote ドキュメントを作成する際に、ほぼすべての種類のファイルを埋め込むことができます。これらは、ユーザーが OneNote ノートブックに埋め込まれた添付ファイルをダブルクリックしたときに実行されます。

ただし、以下に示すように、ソーシャル エンジニアリングを導入して、特定の場所をクリックして埋め込み添付ファイルを起動するようにユーザーを説得する必要があります。

悪意のある Microsoft OneNote 添付ファイルの例
悪意のある Microsoft OneNote 添付ファイルの例
ソース:

埋め込まれた添付ファイルが起動されると、ローカル マシンでコマンドを実行して、マルウェアをダウンロードおよびインストールできます。

QakNoteキャンペーン

ソフォスの新しいレポートで、セキュリティ研究者の Andrew Brandt は、QBot のオペレーターが 2023 年 1 月 31 日以降、QBot マルウェア ペイロードを取得する HTML アプリケーション (HTA ファイル) を含む OneNote ファイルを使用して、この新しい配布方法の実験を開始したと説明しています。

QBot の配布におけるこの切り替えは、2023 年 1 月 31 日に Twitter で Cynet の研究者 Max Malyutin によって最初に公開されました。

つぶやき

HTA ファイル内のスクリプトは、正規の curl.exe アプリケーションを使用して DLL ファイル (Qbot マルウェア) を C:ProgramData フォルダーにダウンロードし、Rundll32.exe を使用して実行します。

HTA ファイルの内容
悪意のある HTA ファイルの内容(ソフォス)

QBot ペイロードは、Windows Assistive Technology Manager (「AtBroker.exe」) に自身を挿入して、その存在を隠し、デバイス上で実行されている AV ツールからの検出を回避します。

ソフォスは、QBot のオペレーターがこれらの HTA ファイルに対して 2 つの配布方法を採用していると報告しています。

後者は、QBot オペレーターが既存の電子メール スレッドを乗っ取り、悪意のある OneNote ノートブック ファイルを添付して「全員に返信」メッセージを参加者に送信する、特に巧妙な手法です。

これらの攻撃で被害者をさらに欺くために、攻撃者はノートブック ファイル内の偽のボタンを使用して、クラウドからドキュメントをダウンロードすると思われますが、クリックすると、代わりに埋め込まれた HTA 添付ファイルを実行します。

ターゲットに到達する QBot マルスパム
ターゲットに到達する QBot マルスパム ファイル(ソフォス)

このアクションは、添付ファイルを実行するリスクについて被害者に警告する警告ダイアログを生成しますが、それが無視される可能性は常にあります。

この新しい攻撃ベクトルに対する防御として、ソフォスは、電子メール管理者がすべての .one ファイル拡張子をブロックすることを検討するよう提案しています。