FBI、司法省、国家サイバーセキュリティ同盟、ユーロポール、そしてフランス、ドイツ、オランダ、ルーマニア、ラトビア、イギリスの犯罪当局が主導する「ダックハント作戦」と呼ばれる多国間作戦により、Qakbotネットワークへのアクセスに成功し、世界中で70万台のコンピューターに影響を与えた悪質なボットネットをシャットダウンした。
ジャンプ先:
- Qakbot はわずか 18 か月で約 5,800 万ドルの身代金を獲得しました
- FBI、Qakbot を排除するためコンピューターにアンインストーラー ファイルを挿入
- Qakbot はサイバー犯罪グループ Batbug と関連している
- 2023年1月からOneNoteに関連した活動が急増
- Qakbot: 消えたけど、長くは続かないね?
Qakbot はわずか 18 か月で約 5,800 万ドルの身代金を獲得しました
Qakbot(別名Qbot、Pinkslipbot)は、15年以上にわたる活動の中で、企業、政府機関、医療機関を標的とした世界中で約40件のランサムウェア攻撃を仕掛け、約70万台のコンピュータに影響を与えました。司法省によると、Qakbotはほぼすべてのランサムウェア攻撃と同様に、悪意のあるリンクを含むスパムメールを通じて被害者を攻撃します。司法省は、過去1年半だけでもQakbotが約5,800万ドルの損害を引き起こしたと指摘しています。Qakbotに対する措置の一環として、司法省は不正利益として約860万ドル相当の仮想通貨を押収しました(司法省の押収令状はこちら)。
司法省によれば、今回の措置は、サイバー犯罪者がランサムウェアや金融詐欺、その他のサイバーを利用した犯罪行為を行うために利用しているボットネット基盤に対する、米国主導による最大規模の財政的・技術的妨害行為となった。
「Qakbotのようなマルウェアを使って無実の被害者から個人情報を盗むサイバー犯罪者は、自分たちが法律の範囲外で活動しているのではないことを今日改めて認識した」とメリック・B・ガーランド司法長官は声明で述べた。
参照:LockBit、Cl0Pがランサムウェア対策を拡大(TechRepublic)
FBI長官クリストファー・レイ氏はFBIのウェブサイトで、被害者は東海岸の金融機関から中西部の重要インフラ政府請負業者、西海岸の医療機器メーカーまで多岐にわたると述べた。
FBI、Qakbot を排除するためコンピューターにアンインストーラー ファイルを挿入
FBIは、作戦の一環としてQakbotのインフラにアクセスし、世界中で数十万台の感染コンピュータを特定したと発表した。これには米国内の20万台以上も含まれる。作戦の一環として、FBIはQakbotのトラフィックを自身のサーバーにリダイレクトし、感染コンピュータにアンインストーラファイルのダウンロードを指示した。このアンインストーラは、感染コンピュータをボットネットから解放し、感染コンピュータへの他のマルウェアのインストールを阻止することができた。
サイバーセキュリティ企業ウィズセキュアのセキュリティおよびリスク管理コンサルタント、リチャード・サルス氏は、FBIがQakbotの制御サーバーを接収し、法執行機関が作成したソフトウェアを使用して感染したコンピューターからQakbotを消去するという手法は斬新だったと述べた。
「これはこれまで文書化されたことがなく、正しい方向への大きな一歩です」と彼は述べた。「通常、ボットネットが破壊されると、コマンド&コントロールサーバーはオフラインになり、シンクホール化されます。つまり、トラフィックは分析、情報収集、そして被害者の支援のために『善良な人々』にリダイレクトされるのです。」彼は、このアプローチの好例として、Confickerワームのシンクホール化を挙げた。
司法省は、ゼットスケーラー社から技術支援を受けており、FBIはサイバーセキュリティ・インフラストラクチャセキュリティ局、シャドウサーバー、マイクロソフトデジタル犯罪対策ユニット、全米サイバーフォレンジック・トレーニング連盟、Have I Been Pwnedと提携して被害者への通知と修復を支援していると述べた。
Qakbot はサイバー犯罪グループ Batbug と関連している
Qakbotボットネットは、シマンテックがBatbugと呼ぶサイバー犯罪グループによって運営されています。シマンテックによると、Batbugは複数の大手ランサムウェアグループと連携した、収益性の高いマルウェア配信ネットワークを運営しています。司法省によると、これらのランサムウェアグループには、Conti、ProLock、Egregor、REvil、MegaCortex、Black Bastaなどが含まれます。
参照:匿名のスーダンが欧州の投資インフラを攻撃(TechRepublic)
「今回の閉鎖によりBatbugの活動は混乱する可能性があり、同グループはその後、インフラの再構築に苦労する可能性がある」と、シマンテックの脅威ハンターチームはブログで述べた。作成者らは、Qakbotは当初金融機関を狙ったトロイの木馬として出現し、その機能性と適応性で知られるようになったと指摘した。
「例えば、組織内の1台のマシンに感染すると、ネットワーク共有やActive Directoryのユーザーグループアカウントに対するブルートフォース攻撃、あるいはサーバーメッセージブロック(SMB)の悪用など、ワームのような機能を利用してネットワーク全体に横方向に拡散することができた」とシマンテックのチームは記している。
2023年1月からOneNoteに関連した活動が急増
シマンテックの研究者たちは、2023年初頭から6月にかけてQakbotの活動が急増したことを指摘しました。この期間、ボットネットはMicrosoft OneNoteの添付ファイルを利用して、感染したマシンにQakbotをドロップし始めました。シマンテックの研究者たちは、OneNoteはMicrosoft Office/365のデフォルトインストールであると指摘しています。「Windowsユーザーが普段このアプリケーションを使用していない場合でも、このファイル形式を開くことは可能です」と研究者たちは記しています。
シマンテックのブログの著者らは、Qakbotに感染したメールには、悪意のあるOneNoteファイルを含むZIPアーカイブに誘導するURLが埋め込まれていたと述べています。被害者がこのファイルをクリックすると、HTMLアプリケーションファイルが誤って実行され、被害者のコンピュータにQakbotのDLLが.pngファイルとしてダウンロードされます。シマンテックの研究者らは、このキルチェーンは消滅し、攻撃者はJavaScriptダウンローダーを含む悪意のあるZIPアーカイブのURLに誘導するPDFドキュメントを使用するようになったと付け加えています。
ウィズセキュアの顧問ポール・ブルチアーニ氏は、今回の措置は、2023年3月に発表されたFBIの米国国家サイバーセキュリティ戦略を反映しているようだと述べた。具体的には、政府と民間部門の間で脅威情報を共有すること、脅威の主体に対して軍事、サイバー、外交、その他の能力を活用すること、システムを防御するよりも攻撃にかかるコストを高くすることで攻撃を抑止することなどが含まれている。
Qakbot: 消えたけど、長くは続かないね?
Qakbotは、新たな防御策を回避するために何らかの改修を施した後、再び姿を現すのだろうか? WithSecureのSuls氏は、その可能性を指摘した。「こうしたボットネットの作成者は高度なスキルを持つことが多い(国家やAPT組織による場合もある)。そのため、ボットネットが墓場から蘇り、しかも改変を加えられるケースも少なくない」とSuls氏は述べ、2011年9月にシンクホール攻撃を受け、2012年1月に新バージョンとして復活したKelihosを例に挙げた。
「ボットネットが再構成され、復活する例の一つは、ソースコードが漏洩したことです」とサルス氏は述べた。「例えば、Zbotマルウェアは、そのソースコードがインターネットに流出したことで、複数のアクターが自身のボットネットのベースコードを閲覧、更新、利用できるようになってしまいました。インターネットの闇の片隅では、ボットネットのコードが購入可能であることは間違いありません。」
脅威情報会社セントリペタルのセキュリティオペレーション担当副社長ジェス・パーネル氏は、Qakbot の成功は、最も弱いリンクが最も洗練されていないことを証明していると述べた。
「単純なスパムメールやSMSメッセージは無害だと考える人もいるかもしれませんが、私たちが日々目にしているように、世界中の組織は日々、大規模なサイバー攻撃の被害を受けています。これらの攻撃は、多くの場合、別の攻撃に偽装されています」と彼は述べた。「情報収集を怠らず、積極的に行動し、協力することで、組織はサイバー攻撃の被害に遭うリスクを大幅に軽減することができます。」
