TOPNetwork > マルウエアQbot、新たな亜種が企業を攻撃

Network

マルウエアQbot、新たな亜種が企業を攻撃

2019/03/05

Lucian Constantin CSO

攻撃の仕組み

 今回Varonisが確認した新たな亜種のドロッパーは、メールの添付ファイルとして送られたと見られる。拡張子は「.doc.vbs」だった。VBSはWindowsが標準でサポートしているスクリプト言語だ。

 このVBSスクリプトは、Windowsの標準のコマンドラインツール「BITSAdmin」を使って、QbotのローダーをC&Cサーバーからダウンロードする。以前のバージョンのQbotは、ファイルのダウンロードにPowerShellを使っていたが、その後PowerShellはマルウエアの配送手段として広く使われるようになり、エンタープライズシステムで綿密に監視されるようになった。「ローダーはマルウエアの中核部分を起動する。複数のバージョンがあり、実行後も頻繁にアップデートを繰り返している」とVaronisのブログ記事は説明する。

 ダウンロードされるローダーのバージョンは、VBSファイルにハードコーディングされているパラメーターによって変わる。したがって、標的のユーザーや企業の種類に応じて複数のメールキャンペーンが使い分けられている可能性がある。また、ローダーはそれぞれデジタル署名されているが、署名に使われた証明書が8種類あることをVaronisは確認した。企業などから盗まれたものと見られる。

 ファイルがデジタル署名されているからといって、安心できるファイルとは限らない。HTTPSを使っているサイトでも、マルウエアの配布やフィッシングと無関係とは限らないのと同じだ。とはいえ、ファイルがデジタル署名されているとWindowsが警告を出す可能性は低くなる。それに、エンドポイントセキュリティのエージェントや、ホワイトリスト型のソリューションでも、構成が適切ではない場合には、署名が付いているファイルをそのまま信頼してしまうケースがある。

↑ページ先頭へ