製品とサービス 製品とサービス

Sophos NDR で新しい QakBot C2 サーバーが検出されました。

Sophos NDR のアップデートにより、まだ公に特定されていなかった 2つの新しい QakBot サーバーが検出されました。
作成者
2023、 4月 20
Products & Services MDR NDR Security Operations Sophos MDR Sophos NDR セキュリティの管理 製品とサービス

** 本記事は、New QakBot C2 servers detected with Sophos NDRル の翻訳です。最新の情報は英語記事をご覧ください。**

マルウェアが進化し、敵対者が検出を回避する能力を向上させるにつれて、最新の脅威や攻撃を検出するためにダイナミックな AI 技術や機械学習技術が不可欠です。

Sophos NDR は、進化するマルウェアファミリーを考慮し、定期的に再トレーニングされる一連の機械学習モデルを利用しています。このアプローチにより、Sophos NDR は、暗号化されたトラフィック内であっても、ネットワークの深部で秘密裏に動作するこれまで特定されていなかったコマンドおよびコントロールサーバーへの呼び出しを試みる新しいマルウェアの亜種を特定することができます。

最近、Sophos NDR のアップデートにより、まだ公に特定されていなかった 2つの新しい QakBot サーバーが検出されました。これらのサーバーは、2008年から活動を開始し、主に金融機関とその顧客を標的とするバンキング型トロイの木馬である QakBot の感染を管理・制御するために、脅威アクターによって使用されていました。

これらの新しい QakBot サーバーの検出は、バンキングトロイの木馬がもたらす継続的な脅威と、高度な脅威の検出と対応能力の必要性を強調しています。Sophos NDR が暗号化パケット解析技術を使用して QakBot サーバーを検出したことは、高度な脅威を特定するために暗号化トラフィックを解析することの重要性を実証しています。

Sophos NDR の暗号化パケット解析 (EPA) 技術により、復号化されたコンテンツに依存することなく潜在的な脅威を検出することができます。以下の表では、新たに発見された 2 つの QakBot サーバーの詳細について、EPA モデルの信頼度、検出されたマルウェア ファミリー、フロー リスク、TLS 情報などを確認することができます。

Detection IP Address Port EPA Model Confidence Malware Family Flow Risks TLS Info Virus Total Details Other
QakBot C2 Server 142.118.95.50 2222  99.014% QakBot, Qbot, Quakbot KNOWN_PROTOCOL_ON_NON_STANDARD_PORT
TLS_NOT_CARRYING_HTTPS
TLS_MISSING_SNI		 TLS version 1.2
Cipher: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
JA3C: 72a589da586844d7f0818ce684948eea
JA3S: fd4bc6cea4877646ccd62f0792ec0b62
JARM: 21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21		 https://www.virustotal.com/gui/ip-address/142.118.95.50/community Unpopular Destination
QakBot C2 Server 173.18.122.24 443 98.509% QakBot, Qbot, Quakbot TLS_NOT_CARRYING_HTTPS
TLS_MISSING_SNI		 TLS version 1.2
Cipher: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
JA3C: 72a589da586844d7f0818ce684948eea
JA3S: fd4bc6cea4877646ccd62f0792ec0b62
JARM: 21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21		 https://www.virustotal.com/gui/ip-address/173.18.122.24/community Unpopular Destination

過去に QakBot を使用しているとされるサイバー犯罪グループが複数存在しました。注目すべきグループには、以下のようなものがあります。

  • Evil Corp:このロシアのサイバー犯罪グループは、QakBotを含む様々なバンキング型トロイの木馬を配備していることで知られています。彼らは、大金を盗むことを主な目的として、金融機関に対するいくつかの有名な攻撃と関連しています。
  • TA505:東欧を拠点とするグループとされ、QakBot やその他のマルウェアを配布するための大規模なフィッシングキャンペーンを行うことで知られています。また、バンキング型トロイの木馬 Dridex やランサムウェア Locky にも関連しています。
  • FIN7:フィッシングメールを使ってホスピタリティ、レストラン、小売業をターゲットにし、QakBot やその他のマルウェアを展開してペイメントカードデータを盗むことで知られているグループである。また、マルウェア Carbanak や Cobalt Strike を使用した攻撃との関連も指摘されています。
Sophos NDR の EPA モデルは、パケットフローを画像に変換し、ニューラルネットワークを使用して、画像が私たちが予想する QakBot の姿に一致するかどうかを判断します。その画像がどのようなものであるか興味のある方のために、ここにそれらを掲載しました。

For more information on the Sophos NDR product, please check out the Sophos NDR Explained whitepaper.

著者について

With 15+ years in the IT security space as a software developer, architect and product manager, Karl has a passion for security and a deep commitment to drive the criminal syndicates and nation state actors off our networks and out of our devices. Over the years Karl has collaborated with organizations from small businesses to national defense agencies, both to understand the threats these organizations face and to design and build the software used to defend them from adversaries. With an engineering background, Karl has patents ranging from cryptographic methods for authentication to attribute correlation for device detection. Karl is currently employed at Sophos as a senior product manager for endpoint protection.

関連記事を読む