悪名高いQakbot脅威キャンペーンの再来

QakBotサイバー脅威（QbotまたはPinkslipbotとしても知られる）を覚えていますか？この脅威は2023年8月に法執行機関の連携した取り組みの一環として停止されましたが、復活しています！

悪意のあるアクターは、さまざまな業界を標的とした新しいフィッシングキャンペーンで、その古い手口を使用しています。彼らは、進行中の会話のように見せかけ、危険なリンクを含む欺瞞的なメールを送信しています。これらのリンクをクリックすると、DarkGateやPikaBotのようなマルウェアをシステムにインストールできるファイルに誘導されます。(図1)

一度感染すると、これらの悪意のあるプログラムは深刻な被害をもたらす可能性があります。多くの場合、データを人質に取ったり、デバイスのコンピューティングリソースを利用して暗号通貨を採掘する巧妙なクリプトマイニングマルウェアを利用したりします。攻撃者は、情報を盗んだり、その他の有害な行為を実行したりする目的でシステムを制御します。脅威アクターによって確立された接続は双方向であり、攻撃者はリアルタイムでコマンドを送信し、応答を受信できるため、被害者のシステムを探索し、データを盗み、その他の有害な行為を実行できます。

QakBotをベースにした高度な新しいマルウェア亜種であるPikaBotは、分析が特に困難であり、攻撃者により多くの制御を与えます。

2017年に初めて発見されたDarkGateも再浮上しています。2023年にはハッカーコミュニティでより広く利用可能になり、その使用と配布が急増しました。このマルウェア株は、Microsoft Teamsのメッセージを利用して、DarkGateマルウェアをインストールする有害な添付ファイルを拡散します。研究者たちは、侵害された2つの外部Microsoft 365アカウントに由来するMicrosoft Teams内のフィッシングメッセージを確認しています。これらのアカウントは、異なる組織のMicrosoft Teamsユーザーを誤解させ、「Changes to the vacation schedule」という名前のZIPファイルをダウンロードするように促すために利用されました。この添付ファイルをクリックすると、SharePoint URLからのダウンロードプロセスが開始され、LNKファイルがPDFドキュメントとして偽装されていました。

なぜこれらのインシデントが発生するのでしょうか？

DarkGateとPikaBotは、特定の業界を標的にしない汎用性の高いマルウェアであり、様々な分野で脅威をもたらします。これらは無差別にシステムに侵入し、悪用できる脆弱性を探します。そのモジュール性により、攻撃者はデータ窃盗、リモートアクセス、仮想通貨マイニング、その他幅広い業界での悪意のある活動を実行できます。その適応性により、ハッカーは金融、医療、教育、政府、製造業など、多様なサイバー攻撃にこれらを使用する可能性があります。したがって、すべての分野で、これらの進化する脅威から保護するための堅牢なサイバーセキュリティ対策が必要です。

フィッシングは、DarkGateおよびPikaBotマルウェアの運用者にとって、非常に成功した初期アクセスブローカーです。被害者がメール内のフィッシングリンクをクリックしてしまうと、それが脅威アクターがアクセスを得るための極めて重要な入り口となります。これらの手口が攻撃者にとって効果的であり続ける理由はいくつかあります。

1. 欺瞞的な手口：これらのマルウェアは、正規に見えるメールや、進行中の会話を模倣したメールを送信するなど、巧妙なフィッシング手口をしばしば用いて、ユーザーを騙してコンテンツを信頼させます。
2. 人間の脆弱性の悪用：フィッシングは、好奇心や緊急性といった人間の感情に依存して行動を促します。メールは、緊急または重要なメッセージを装うことで、受信者を誘い込んでリンクをクリックさせたり、添付ファイルをダウンロードさせたりします。
3. ソーシャルエンジニアリング：この手口は、ユーザーが馴染みのあるプラットフォームや個人に対する信頼を操作し、悪意のある意図を認識しにくくします。
   多様な攻撃ベクトル：これらのマルウェアは、メールの添付ファイルやリンクなど、様々な侵入経路を利用し、システムやソフトウェアの脆弱性を悪用します。この多角的なアプローチにより、成功の可能性が高まります。
4. 適応性：QakBot、DarkGate、PikaBotは常に進化し、セキュリティ対策を回避するためにフィッシング戦略を適応させるため、検出と軽減がより困難になります。
5. 自動配布：これらの脅威は急速に拡散し、自動化されたシステムを活用して大規模にフィッシングメールを送信するため、誰かがその手口の被害に遭う可能性が高まります。

何ができるでしょうか？

脅威アクターは、主に最初のクリックに依存して侵入の機会を得るため、ユーザーの意識向上と教育は、このようなフィッシング攻撃を阻止する上で非常に効果的です。

しかし現実には、人間の脆弱性と脅威アクターによる欺瞞的な手口が相まって、URLリンクがクリックされてしまう傾向があります。フィッシングの手口は絶えず進化し、より巧妙になっています。攻撃者はソーシャルエンジニアリングのような様々な手口を用いて、正規のメールの説得力のあるレプリカを作成するため、従来のセキュリティ対策では区別が困難になっています。

このため、Remote Browser Isolation (RBI) は、ローカルデバイスから離れた場所でブラウジングセッションを実行し、制御された環境内で潜在的な脅威を隔離するため、URLクリックを伴うフィッシング攻撃に対して効果的です。その有効性は以下の通りです。

1. 実行の隔離：ユーザーがURLをクリックすると、ブラウジングセッションはリモート環境で行われます。これにより、ブラウジング活動がローカルシステムから分離されるため、潜在的なマルウェアや脅威がユーザーのデバイスに直接到達するのを防ぎます。
2. 露出の制限：ブラウジングセッションを隔離することで、たとえURLが悪意のあるサイトにつながる場合でも、遭遇したマルウェアや有害なコンテンツはリモート環境内に隔離されたままになります。ユーザーのデバイスやネットワークに直接アクセスすることはありません。
3. デバイス感染の防止：ブラウジングは隔離された環境で行われるため、ブラウジングセッション中に遭遇したマルウェアがユーザーのデバイスに感染したり、機密データを侵害したりする機会はありません。
4. 攻撃対象領域を削減: Remote Browser Isolationは、潜在的に危険なWebコンテンツがユーザーのデバイスにロードされることがないようにすることで攻撃対象領域を最小限に抑え、フィッシングURLに関連するリスクを軽減します。
5. セキュリティ態勢の強化：潜在的にリスクのあるウェブコンテンツとのユーザーのやり取りをローカルデバイスやネットワークから分離することで、セキュリティの追加レイヤーが加わり、フィッシング攻撃の成功の可能性を低減します。

Skyhigh Security Service Edge (SSE) ポートフォリオには、デフォルトでRisky Web RBIが含まれています。これは、ブラウジングリクエストをRBIサービスにリダイレクトすることで、ユーザーを危険なWebサイトから保護します。RBIテクノロジーはSkyhigh Securityプラットフォームと統合されており、ランサムウェアやフィッシングの脅威に対する堅牢な保護を提供しつつ、ゼロトラストアーキテクチャの導入を簡素化します。

さらに、別途利用可能なフルRBI機能は、特定のトラフィックをRBIセッションに誘導し、さらに強力なセキュリティ対策を確保できます。Skyhigh SecurityのRBIへのアプローチは、Webトラフィックをクラウドプロキシ経由でルーティングし、潜在的に危険なブラウジングを隔離することを含みます。これにより、Data Loss Prevention (DLP) およびアンチマルウェアポリシーを通じて包括的な保護が確保されます。ユーザーがフィッシングURLをクリックすると、通常、ペイロードがホストされているページに被害者をリダイレクトし、攻撃者のファイルをダウンロードさせます。これが、初期デバイス感染を防ぐために十分な脅威分析が必要とされる理由です。

Skyhigh Securityのゲートウェイアンチマルウェア (GAM) エンジンは、シグネチャに依存することなく、プロアクティブな意図分析を採用してリアルタイムの悪意のあるWebコンテンツをフィルタリングします。動作をシミュレートし、動作を理解し、コードの意図を予測することで、実行可能および非実行可能な悪意のあるコンテンツの両方を検出し、ゼロデイ攻撃や標的型攻撃に効果的に対処します。このエンジンは、クライアントのWebアクセス動作も監視し、潜在的に不要なプログラム (PUP) を特定し、侵害されたワークステーションを隔離します。

GAMは、Microsoft Windows実行ファイル、JavaScript、Flash ActionScript、Java、ActiveXコントロールなど、様々な形式のコード挙動検出に長けています。例えば、Word文書内の難読化されたVisual Basic Scriptの悪意のある意図を特定し、文書のダウンロードを阻止することができます。

従来のシグネチャベースおよびヒューリスティックなアンチマルウェアエンジンも含まれていますが、未知のマルウェアに対する中核的な検出機能は、機械学習とリアルタイムエミュレーションを活用するGAMに依存しています。これには3つのヒューリスティック機能が含まれます。

1. 新しいコードサンプルにおける疑わしい挙動をブロックするための静的挙動ヒューリスティック。
2. 変更されたマルウェアの亜種を既知のマルウェアファミリーに関連付ける構造ヒューリスティック。
3. 疑わしいインターネットアクセスパターンを示す、潜在的に感染したクライアントシステムを特定するネットワーク挙動ヒューリスティック。