QBotによる新たなキャンペーンで、マルウェア拡散のために企業メールが乗っ取られる | Codebook|Security News
Codebook|Security News > Articles > Threat Report > QBotによる新たなキャンペーンで、マルウェア拡散のために企業メールが乗っ取られる

Threat Report

Silobreaker-CyberAlert

QBotによる新たなキャンペーンで、マルウェア拡散のために企業メールが乗っ取られる

akamatsu

2023.04.18

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年4月18日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。

バンキング型トロイの木馬QBotによる新たなキャンペーンで、マルウェア拡散のために企業メールが乗っ取られる

The Hacker News – Apr 17 2023 16:06

QBotマルウェアの新たなキャンペーンで、被害者を騙してマルウェアをインストールさせるために乗っ取られた企業メールが利用されていることを、カスペルスキーが明らかにした。

QBot(別名QakbotまたはPinkslipbot)は遅くとも2007年から存在するバンキング型トロイの木馬で、Webブラウザからパスワードやクッキーを窃取するほか、次の段階のペイロード(Cobalt Strikeやランサムウェア)を注入するためのバックドアとしても使われる。

カスペルスキーの研究者によると、QBotは初期の頃、感染済みのWebサイトや海賊版ソフトウェアなどによって配布されていたが、現在では、被害者のコンピューター上にすでに存在するマルウェアの利用やソーシャルエンジニアリング攻撃、スパムメールといった手段で配布されるようになっているという。

今回の新たなキャンペーンでは、企業間の既存のメールのやり取りを攻撃者が乗っ取り、攻撃者自身によるメールを紛れ込ませるという、メールスレッドのハイジャック攻撃が利用されている。この手法により騙された被害者がメール内の悪意あるリンクや悪意ある添付ファイルを開いてしまうと、最終的にQBotマルウェアがダウンロードされてしまう恐れがある。

なお、2023年4月4日に始まった最新のキャンペーンでは、主にドイツ、アルゼンチン、イタリア、アルジェリア、スペイン、米国、ロシア、フランス、英国、モロッコのユーザーが標的になっているとのこと。

FIN7とContiグループの元メンバーがマルウェア「Domino」で協力

Dark Reading – Apr 17 2023 21:59

Contiランサムウェアグループの元メンバーらが、FIN7グループによって開発されたバックドア「Domino」を利用し、Cobalt Strikeや情報スティーラー「Project Nemesis」を配布しているとの報道。Dominoは、FIN7自身の攻撃においても遅くとも10月から使われているという。なおContiとは昨年5月に解体された悪名高きランサムウェアグループで、FIN7とは登場以来12億ドル相当を被害者から奪い取ってきたと推定される、金銭的動機を持つサイバー犯罪グループ。

IBM Security X-Forceの研究者は、Contiの元メンバーらがDominoを使いはじめたのは今年2月で、FIN7が同マルウェアを使用し始めてから約4か月後だったと判断した。攻撃キャンペーンにおいてContiの元メンバーらは、ローダー「Dave」を使いDominoをドロップしていた。Dominoがホストシステムに関する基本的な情報を集めて外部のC2サーバーへ送り、C2サーバーはAESで暗号化されたペイロード(多くの場合、別のローダー)をシステムへ送り返す。そしてこのペイロードにより、Cobalt StrikeまたはProject Nemesisがインストールされるという。

このキャンペーンは、異なる動機・技術を持つ異なる脅威グループが、それぞれ別々の目的を達成するため、そしてサイバー犯罪経済における個々の活動範囲を広げるために頻繁に協力していることを示す最新の例だと言える。

新たなAndroidマルウェア「Chameleon」が銀行、政府機関、そして暗号アプリに成りすます

Bleeping Computer – Apr 17 2023 12:46

今年初めから、「Chameleon(カメレオン)」と名付けられた新たなAndroid向けトロイの木馬がオーストラリアとポーランドのユーザーを標的にしている。同マルウェアは、暗号資産取引所「CoinSpot」やオーストラリアの政府機関、ポーランドの銀行「PKO バンク・ポルスキ」などに成りすましているという。

Chameleonは、侵害済みのWebサイトやDiscordの添付ファイル、そしてBitbucketホスティングサービスによって配布されるのが観測されている。同マルウェアは、ユーザーの認証情報、クッキー、SMSテキストの窃取などを行う性能を備えているとされる。

同マルウェアは起動時にセキュリティソフトウェアによる検知を回避するためにさまざまなチェック作業を行う。その後、Accessibility Serviceを使う許可をユーザーに求めてさらなる権限を得られるようにし、Google Play プロテクト機能を無効化して自身がアンインストールされるのを防ぐ。この後に、成りすまし対象の組織に応じて、WebView内で正規のURLを開きつつ、バックグラウンドで悪意あるモジュール(クッキースティーラーやキーロガーなど)をロードし始めるという。

Chameleonは新進の脅威であり、今後のバージョンではさらなる機能が追加される可能性がある。Androidユーザーに対しては、公式ストアからのみソフトウェアをダウンロードすることや、Google Play プロテクト機能を常に有効化しておくことなどが推奨されている。

2023年4月18日

ハイライト

Vice Society、データ抽出にカスタマイズされたPowerShellツールを使用 

Security Affairs – Apr 17 2023 11:18

 

Google、メディアと求人サイトを標的とする「APT41」のツールを発見

Information Security Buzz – Apr 17 2023 19:06

 

MacOSを標的とするLockBitの新たな亜種、 別の亜種はContiのソースコードに依存

SC Magazine US – Apr 17 2023 23:10

 

実戦形式の訓練による、データ侵害に対する効果的なプレイブックの作成

Help Net Security – News – Apr 18 2023 04:30

 

LockBitランサムウェアグループが初めてMacを標的にした模様

DataBreaches.net – Apr 17 2023 11:41

 

Vice Societyランサムウェア、データ抽出にステルス性のPowerShellツールを使用

The Hacker News – Apr 17 2023 08:01

 

Telegram上で販売される新たな認証情報スティーラーのZarazaボットは、38のWebブラウザを標的に

The Hacker News – Apr 17 2023 06:59

 

QBotの新たなキャンペーンでビジネスメールが乗っ取られ、マルウェアが配布される

Security Affairs – Apr 17 2023 20:46

 

環境寄生型(LOTL)攻撃:見え隠れするランサムウェアグループを検知する

Malwarebytes Unpacked – Apr 17 2023 14:00

 

Google Chromeのゼロデイに対するパッチがリリースされる:実際の攻撃で悪用されるバグ(CVE-2023-2033)

News ≈ Packet Storm – Apr 17 2023 14:30

 

Google、ゼロデイ脆弱性に対処するためChromeをアップデートするようユーザーに呼びかけ(CVE-2023-2033)

CSO Magazine – Apr 17 2023 15:46

 

Google Chromeのゼロデイに対するパッチがリリースされる:実際の攻撃で悪用されるバグ(CVE-2023-2033)

SC Magazine US – Apr 17 2023 14:19

 

Mobb、自動で脆弱性を修正するツールのシードファンディングで540万ドル集める

Security Week – Apr 17 2023 09:20

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (18 April 2023).

 

Silobreakerについて

Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ