QakBot / QBot
QakBot / QBot とは何ですか?
QakBot / QBot長く活動するバンキングトロイ兼ランサムウェアローダーで、2023 年 8 月の FBI による Operation Duck Hunt で妨害され、その後オペレーターが復活した。
QakBot(別名 QBot、Pinkslipbot、Quakbot)は 2008 年に初確認されたモジュール型バンキングトロイで、2020 年代には最も多産なランサムウェアローダーの一つに成長しました。主にスレッドハイジャックされたメールや HTML スマグリングで配布され、Cobalt Strike、Brute Ratel、BlackBasta・Conti・Royal などのランサムウェアアフィリエイトを展開しました。2023 年 8 月、FBI は Operation Duck Hunt を発表し、複数国で QakBot 基盤を押収、約 70 万台の感染ホストにアンインストーラを配布し、約 860 万米ドル相当の暗号資産を押収しました。その数か月後、オペレーターは新たなキャンペーンで復活し、ローダーエコシステムの持続性を浮き彫りにしました。
● 例
- 01
QakBot 感染は Cobalt Strike ビーコンが内部サーバーに到達した後、1 週間以内に BlackBasta 展開へとつながる。
- 02
脅威ハンティングチームは 2023 年末、新しい TLP:CLEAR IOC を用いて復活した QakBot キャンペーンの検出ルールを追加する。
● よくある質問
QakBot / QBot とは何ですか?
長く活動するバンキングトロイ兼ランサムウェアローダーで、2023 年 8 月の FBI による Operation Duck Hunt で妨害され、その後オペレーターが復活した。 サイバーセキュリティの マルウェア カテゴリに属します。
QakBot / QBot とはどういう意味ですか?
長く活動するバンキングトロイ兼ランサムウェアローダーで、2023 年 8 月の FBI による Operation Duck Hunt で妨害され、その後オペレーターが復活した。
QakBot / QBot はどのように機能しますか?
QakBot(別名 QBot、Pinkslipbot、Quakbot)は 2008 年に初確認されたモジュール型バンキングトロイで、2020 年代には最も多産なランサムウェアローダーの一つに成長しました。主にスレッドハイジャックされたメールや HTML スマグリングで配布され、Cobalt Strike、Brute Ratel、BlackBasta・Conti・Royal などのランサムウェアアフィリエイトを展開しました。2023 年 8 月、FBI は Operation Duck Hunt を発表し、複数国で QakBot 基盤を押収、約 70 万台の感染ホストにアンインストーラを配布し、約 860 万米ドル相当の暗号資産を押収しました。その数か月後、オペレーターは新たなキャンペーンで復活し、ローダーエコシステムの持続性を浮き彫りにしました。
QakBot / QBot からどのように防御しますか?
QakBot / QBot に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
QakBot / QBot の別名は何ですか?
一般的な別名: QBot, Pinkslipbot, Quakbot。
● 関連用語
- malware№ 084
バンキングトロイの木馬
オンラインバンキングの認証情報を盗み、不正送金を承認させるよう設計されたマルウェア。Web インジェクト、フォームグラブ、オーバーレイなどを用いる。
- malware№ 621
ローダ
攻撃の後続段階に向けて環境を整え、追加ペイロード(多くはメモリ上)を読み込んで実行するマルウェア。
- malware№ 900
ランサムウェア
被害者のデータを暗号化したりシステムをロックしたりし、復旧と引き換えに金銭を要求するマルウェア。
- defense-ops№ 193
Cobalt Strike
商用の敵対者シミュレーション プラットフォームで、レッドチーム業務に広く用いられる一方、攻撃者によりポストエクスプロイトや C2 に頻繁に悪用される。
- attacks№ 821
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。