製品とサービス 製品とサービス

Sophos NDR で新しい QakBot C2 サーバーが検出されました。

Sophos NDR のアップデートにより、まだ公に特定されていなかった 2つの新しい QakBot サーバーが検出されました。

** 本記事は、New QakBot C2 servers detected with Sophos NDRル の翻訳です。最新の情報は英語記事をご覧ください。**

マルウェアが進化し、敵対者が検出を回避する能力を向上させるにつれて、最新の脅威や攻撃を検出するためにダイナミックな AI 技術や機械学習技術が不可欠です。

Sophos NDR は、進化するマルウェアファミリーを考慮し、定期的に再トレーニングされる一連の機械学習モデルを利用しています。このアプローチにより、Sophos NDR は、暗号化されたトラフィック内であっても、ネットワークの深部で秘密裏に動作するこれまで特定されていなかったコマンドおよびコントロールサーバーへの呼び出しを試みる新しいマルウェアの亜種を特定することができます。

最近、Sophos NDR のアップデートにより、まだ公に特定されていなかった 2つの新しい QakBot サーバーが検出されました。これらのサーバーは、2008年から活動を開始し、主に金融機関とその顧客を標的とするバンキング型トロイの木馬である QakBot の感染を管理・制御するために、脅威アクターによって使用されていました。

これらの新しい QakBot サーバーの検出は、バンキングトロイの木馬がもたらす継続的な脅威と、高度な脅威の検出と対応能力の必要性を強調しています。Sophos NDR が暗号化パケット解析技術を使用して QakBot サーバーを検出したことは、高度な脅威を特定するために暗号化トラフィックを解析することの重要性を実証しています。

Sophos NDR の暗号化パケット解析 (EPA) 技術により、復号化されたコンテンツに依存することなく潜在的な脅威を検出することができます。以下の表では、新たに発見された 2 つの QakBot サーバーの詳細について、EPA モデルの信頼度、検出されたマルウェア ファミリー、フロー リスク、TLS 情報などを確認することができます。

Detection IP Address Port EPA Model Confidence Malware Family Flow Risks TLS Info Virus Total Details Other
QakBot C2 Server 142.118.95.50 2222  99.014% QakBot, Qbot, Quakbot KNOWN_PROTOCOL_ON_NON_STANDARD_PORT
TLS_NOT_CARRYING_HTTPS
TLS_MISSING_SNI
TLS version 1.2
Cipher: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
JA3C: 72a589da586844d7f0818ce684948eea
JA3S: fd4bc6cea4877646ccd62f0792ec0b62
JARM: 21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21
https://www.virustotal.com/gui/ip-address/142.118.95.50/community Unpopular Destination
QakBot C2 Server 173.18.122.24 443 98.509% QakBot, Qbot, Quakbot TLS_NOT_CARRYING_HTTPS
TLS_MISSING_SNI
TLS version 1.2
Cipher: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
JA3C: 72a589da586844d7f0818ce684948eea
JA3S: fd4bc6cea4877646ccd62f0792ec0b62
JARM: 21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21
https://www.virustotal.com/gui/ip-address/173.18.122.24/community Unpopular Destination

過去に QakBot を使用しているとされるサイバー犯罪グループが複数存在しました。注目すべきグループには、以下のようなものがあります。

  • Evil Corp:このロシアのサイバー犯罪グループは、QakBotを含む様々なバンキング型トロイの木馬を配備していることで知られています。彼らは、大金を盗むことを主な目的として、金融機関に対するいくつかの有名な攻撃と関連しています。
  • TA505:東欧を拠点とするグループとされ、QakBot やその他のマルウェアを配布するための大規模なフィッシングキャンペーンを行うことで知られています。また、バンキング型トロイの木馬 Dridex やランサムウェア Locky にも関連しています。
  • FIN7:フィッシングメールを使ってホスピタリティ、レストラン、小売業をターゲットにし、QakBot やその他のマルウェアを展開してペイメントカードデータを盗むことで知られているグループである。また、マルウェア Carbanak や Cobalt Strike を使用した攻撃との関連も指摘されています。
Sophos NDR の EPA モデルは、パケットフローを画像に変換し、ニューラルネットワークを使用して、画像が私たちが予想する QakBot の姿に一致するかどうかを判断します。その画像がどのようなものであるか興味のある方のために、ここにそれらを掲載しました。

For more information on the Sophos NDR product, please check out the Sophos NDR Explained whitepaper.

コメントを残す

Your email address will not be published. Required fields are marked *