概要

HORNETSECURITY Security Labは、XLSBドキュメント内のXLMマクロの使用を検出して、qakbotマルウェアを配布しました。 XLMマクロとXLSBドキュメント形式の両方が珍しいため、これらの新しい悪意のあるドキュメントは、現在のアンチウイルスソリューションによる静的検出率が非常に低くなっています。

背景

QakBot(Qbot、QuakBot、Pinkslipbotとしても知られています)は2008年から存在しています。 これは、Emotetを介して配布されます。、EmotetはすでにEmotetに感染している犠牲者にQakBotローダーをダウンロードします。 しかし、それはまた、電子メールを介して直接配布されます。 この目的のために、それはそのcampaigns1で電子メールの会話スレッドハイジャックを使用しています、すなわち、それはその被害者のメールボックスで見つかった電子メールに返信します。 QakBotはProLock ransomware2をダウンロードすることで侵入をエスカレートすることが知られています。

以下のタイムラインは、QakBotに関連する最近の出来事を示しています:

QakBotイベントタイムライン

QakBotの感染の連鎖は次のとおりです:

QakBotの感染連鎖

QAKBOTは、いつか静かなためにXLMマクロ(Excel4マクロとも呼ばれます)を使用しています。

テクニカル分析

2020年10月15日12時40分(UTC)頃、XLSB文書を使用してQakBotを配布するmalspamキャンペーンが観測されました。

XLSBは、Excelバイナリブックファイルです。 その主な用途は、ファイルからの読み取りと書き込みをはるかに高速にし、非常に大きなスプレッドシートのサイズを小さくすることです。 しかし、現在の計算能力とストレージの可用性では、このバイナリ形式の必要性は減少し、今日ではほとんど使用されていません。

これを古代のXLMマクロと組み合わせると、現在のドキュメントはVirusTotalにリストされているAVによって認識されません:

Qakbot XLSBドキュメントがVirusTotal

で検出されませんまた、OLEVBAなどの一般的なドキュメントのマルウェア分析ツールは、XLSB形式のXLMマクロを認識しません:OLEVBA

でQakBot XLSBドキュメントが検出されませんが、XLSBファイルのXLMマクロのサポートはOLEVBAのroadmap3にあります。

XLSB format4をサポートするツールXLMMacroDeobfuscator(悪意のあるXLMマクロの分析に特化した)でも、QakBotのXLSBファイルに問題があります:

QakBot XLSBドキュメントはXLMMacroDeobfuscator

によって検出されませんでしたが、いつものようにXLMMacroDeobfuscatorのバグはすぐに作業されました5。

qakbot XLSBファイルは、添付されたZIPファイル内の古典的なQakBot電子メール会話スレッドhijacking1を介して配信されます:

XLSBファイルを配信するQakBot電子メール

ZIPファイルにはXLSBドキュメントが含まれており、開いたときにDocuSignによって暗号化されたふりをし、ユーザーは”編集を有効にする”と”コンテンツを有効にする”必要があります。:

QakBot XLSBドキュメント

ユーザーがこれを行うと、ドキュメント内のAuto_OpenXLMマクロが起動され、QakBotローダーがダウンロードされます:

QakBot XLM macro

URLはXLMマクロを介して組み立てられたものであり、PNGファイルをダウンロードするふりをします:

QAKBOT loaderダウンロード偽装PNGダウンロード

実際には、PNGファイルはQakBot loader実行可能ファイルです。 Hornetsecurityは以前にQakbotローダーについて報告し、ProLock ransomware2などのマルウェアをフォローアップしています。

結論と対策

悪意のあるアクターによって使用される古代と今日ではあまり一般的ではないXLMマクロの再出現と同様に、珍しいXLSB文書の使用は、主に、より一般的な現代のVBAマクロマルウェアに焦点を当てているセキュリティソリューションによる検出率を低下させる。

しかし、Hornetsecurityの新たな脅威への迅速な応答時間とゼロデイマルウェア保護は、これまでに見たことのないmalspamキャンペーンや新しい攻撃タイプに対する堅牢 Hornetsecurityのスパムおよびマルウェア保護のユーザーは、QakBot XLSBドキュメントから保護されています。

  • 1 https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
  • 2 https://www.hornetsecurity.com/en/security-information/qakbot-malspam-leading-to-prolock/
  • 3 https://twitter.com/decalage2/status/1265031224130777091
  • 4 https://twitter.com/DissectMalware/status/1253496637735010304
  • 5 https://twitter.com/DissectMalware/status/1317939590720819201

Indicators of Compromise (IOCs)

Hashes

MD5 Filename
ebd0e8581800059d451ed9969502ba53 Comission_1587332740_10142020.xlsb
80fd1750532ebb8d148cd9916e621dba Comission_1587332740_10142020.zip

URLs

  • hxxp//thomastongralestatecom/skywkc/3415201.png

DNSs

  • thomastongralestatecom

MITRE ATT&CK

MITRE ATT&CK Tactics and Techniques used by QakBot:

Tactic Technique
TA0001 – Initial Access T1566.001 – Spearphishing Attachment
TA0001 – Initial Access T1566.002 – Spearphishing Link
TA0002 – Execution T1027 – Obfuscated Files or Information
TA0002 – Execution T1059.005 – Visual Basic
TA0002 – Execution T1204.002-悪意のあるファイル
TA0003-永続性 T1053.005-スケジュールされたタスク
TA0003-永続性 T1547.001-レジストリの実行キー/スタートアップフォルダ
TA0004-特権の昇格 T1053.005-スケジュールされたタスク
TA0005-防御回避 T1027.002-ソフトウェアパッキング
TA0005-防御回避 T1055-プロセス注入
TA0005-防衛回避 T1055.012-プロセスくり抜き
TA0005-防御回避 T1497.001-システムチェック
TA0006-資格情報アクセス T1003-OS資格情報のダンプ
TA0006-資格情報アクセス T1110.001-パスワードの推測
TA0006-資格情報アクセス T1555.003-ウェブブラウザーからの認証情報
TA0007-Discovery T1016-システムネットワーク構成Discovery
TA0011-コマンドおよび制御 T1071.001-Webプロトコル
TA0011-コマンドと制御 T1090-プロキシ
TA0011-コマンドと制御 T1090.002-外部プロキシ