Language
FBI が感染した Windows PC から Qakbot マルウェアを駆除した方法

ブログ

ホームページホームページ / ブログ / FBI が感染した Windows PC から Qakbot マルウェアを駆除した方法
search

Jun 19, 2023

2022年年間最優秀製品

Jul 26, 2023

2023年ベストショールーム

Jul 02, 2023

23%の出力

May 26, 2023

3,200% のリターン: このマルチバガー マイクロ

Jul 22, 2023

青銅器時代の矢じりは隕石から作られた

お問い合わせを送信してください
送信

Aug 13, 2023

FBI が感染した Windows PC から Qakbot マルウェアを駆除した方法

FBIは本日、インフラを押収しただけでなく、感染したデバイスからマルウェアをアンインストールした国際法執行活動において、Qakbotボットネットを破壊したと発表した。

FBIは本日、インフラを押収しただけでなく、感染したデバイスからマルウェアをアンインストールした国際法執行活動において、Qakbotボットネットを破壊したと発表した。

先週末の法執行作戦「ダックハント作戦」中、FBIはボットネットのネットワーク通信を管理下のサーバーにリダイレクトし、捜査員が約70万台の感染したデバイス(20万台は米国内にある)を特定できるようにした。

ボットネットを掌握した後、FBI は被害者のコンピュータからマルウェアをアンインストールする方法を考案し、被害者の PC からマルウェア オペレータ自身のコンピュータに至るまでボットネットのインフラストラクチャを事実上解体しました。

FBI がどのようにして Qakbot をコンピュータからアンインストールしたかを知る前に、マルウェアがどのように配布され、どのような悪意のある動作を実行し、誰がそれを利用したかを理解することが不可欠です。

Qakbot (別名 Qbot および Pinklipbot) は、2008 年にバンキング トロイの木馬として始まり、銀行の認証情報、Web サイトの Cookie、クレジット カードを盗んで金融詐欺を行うために使用されていました。

しかし、時間の経過とともに、このマルウェアは、ランサムウェア攻撃、データ盗難、その他の悪意のあるサイバー活動を実行するためにネットワークへの最初のアクセスを取得するために他の脅威アクターによって利用されるマルウェア配信サービスに進化しました。

Qakbot は、リプライ チェーン メール攻撃など、さまざまなルアーを利用したフィッシング キャンペーンを通じて配布されます。リプライ チェーン メール攻撃とは、攻撃者が盗んだ電子メール スレッドを使用し、独自のメッセージと悪意のあるドキュメントを添付してそれに返信する攻撃です。

これらの電子メールには通常、ユーザーのデバイスに Qakbot マルウェアをインストールする悪意のあるファイルをダウンロードするための添付ファイルまたはリンクとして悪意のあるドキュメントが含まれています。

これらのドキュメントはフィッシング キャンペーンごとに変化し、悪意のあるマクロを含む Word または Excel ドキュメント、埋め込みファイルを含む OneNote ファイル、実行可能ファイルや Windows ショートカットを含む ISO 添付ファイルに至るまで多岐にわたります。 それらの一部は、Windows のゼロデイ脆弱性を悪用するように設計されています。

マルウェアの配布方法に関係なく、Qakbot がコンピュータにインストールされると、wermgr.exe や AtBroker.exe などの正規の Windows プロセスのメモリに挿入され、セキュリティ ソフトウェアによる検出を回避しようとします。

たとえば、以下の画像は、正規の wermgr.exe プロセスのメモリに挿入された Qbot マルウェアを示しています。

マルウェアがデバイス上で起動されると、今後のフィッシングメールキャンペーンで使用するために、被害者のメールなどを盗む情報がスキャンされます。

しかし、Qakbot オペレーターは、ランサムウェアギャングに企業ネットワークへの初期アクセスを提供するなど、サイバー犯罪を促進するために他の脅威アクターとも提携していました。

過去に Qakbot は、Conti、ProLock、Egregor、REvil、RansomExx、MegaCortex、そして最近では Black Basta や BlackCat/ALPHV を含む複数のランサムウェア活動と提携してきました。

FBI によると、2021 年 10 月から 2023 年 4 月までの間に、Qakbot オペレーターはランサムウェアの支払いで約 5,800 万ドルを稼いだという。

本日の発表の一環として、FBI は、攻撃者のサーバー インフラストラクチャを占拠し、感染したデバイスから Qakbot マルウェアをアンインストールする特別な削除ツールを作成することで、ボットネットを解体することができたと述べています。

司法省が発表した押収令状の申請書によると、FBIはQakbotの管理コンピュータへのアクセスを取得することができ、これは法執行機関がボットネットの運用に使用されるサーバーインフラストラクチャを計画するのに役立ったという。

FBI は調査に基づいて、Qakbot ボットネットが Tier-1、Tier-2、Tier-3 のコマンド アンド コントロール サーバーを利用しており、これらのサーバーはコマンドの実行、マルウェア更新のインストール、追加のパートナー ペイロードのデバイスへのダウンロードに使用されていると判断しました。 。

Tier-1 サーバーは、ボットネットのコマンド アンド コントロール インフラストラクチャの一部として機能する「スーパーノード」モジュールがインストールされた感染デバイスで、被害者の一部は米国にいます。 Tier-2 サーバーもコマンド アンド コントロール サーバーですが、Qakbot オペレーターは通常、米国外のレンタル サーバーからそれらを操作します。