【目次】
概要
【図表】
[独自情報] URLhouse.abuse.ch のURL情報(約30万件)から Qakbot関係の情報を抽出し、独自に時系列(日別)に新規URL数をプロット(2020/06/10に更新)
【概要】
| 項目 | 内容 |
|---|---|
| 活動期間 | 2009/05~ |
| マルウェア種別 | Worm, Bot |
【最新情報】
◆QBot phishing uses Windows Calculator sideloading to infect devices (BleepingComputer, 2022/07/24 11:18)
[QBot は、Windows Calculator のサイドロードを使用してデバイスを感染させるフィッシングです]
https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/
⇒ https://malware-log.hatenablog.com/entry/2022/07/24/000000
記事
【ニュース】
■2016年
◆2016年1Qのランサムウェア動向、法人の感染被害が前期比2.7倍に (Security NEXT, 2016/05/25)
http://www.security-next.com/070233
⇒ https://malware-log.hatenablog.com/entry/2016/05/25/000000_1
◆国内のランサムウェア被害報告件数が前年同期比8.7倍に――トレンドマイクロがセキュリティ動向を発表 (EnterpriseZine, 2016/05/15 15:20)
https://enterprisezine.jp/article/detail/8091
⇒ https://malware-log.hatenablog.com/entry/2016/05/25/000000_1
◆検知困難なマルウェア「Qbot」が攻撃に失敗した残念な理由 (Itmedia, 2016/06/08 10:00)
http://www.itmedia.co.jp/enterprise/articles/1606/08/news017.html
⇒ https://malware-log.hatenablog.com/entry/2016/06/08/000000_3
■2019年
◆マルウエアQbot、新たな亜種が企業を攻撃 (ComputerWorld, 2019/03/05)
https://tech.nikkeibp.co.jp/it/atcl/idg/14/481542/030500606/
⇒ https://malware-log.hatenablog.com/entry/2019/03/05/000000_3
◆新たな難読化手法により Qakbot がレベルアップ (Talos(CISCO), 2019/06/14)
https://gblogs.cisco.com/jp/2019/06/talos-qakbot-levels-up-with-new-obfuscation/
⇒ https://malware-log.hatenablog.com/entry/2019/06/14/000000_12
◆2019 年のマルウェアを振り返る (Talos(CISCO), 2019/12/24)
https://gblogs.cisco.com/jp/2019/12/talos-2019-year-in-malware/
⇒ https://malware-log.hatenablog.com/entry/2019/12/24/000000_10
■2020年
◆コロナ禍悪用の新手マルウェア、医療機関や企業に攻撃拡大か――FBIが警戒呼びかけ (ITmedia, 2020/05/19 09:13)
https://www.itmedia.co.jp/enterprise/articles/2005/19/news044.html
⇒ https://malware-log.hatenablog.com/entry/2020/05/19/000000_2
◆EOLのマルウェア侵入対策製品がボットネットの標的に (Security NEXT, 2020/06/08)
http://www.security-next.com/115515
⇒ https://malware-log.hatenablog.com/entry/2020/06/08/000000
◆QAKBOTが活発化、VBS利用による拡散を確認 (Trendmicro, 2020/06/25)
https://blog.trendmicro.co.jp/archives/25325
⇒ https://malware-log.hatenablog.com/entry/2020/06/25/000000_1
◆Emotet malware now steals your email attachments to attack contacts (BleepingComputer, 2020/07/28 15:21)
https://www.bleepingcomputer.com/news/security/emotet-malware-now-steals-your-email-attachments-to-attack-contacts/
⇒ https://malware-log.hatenablog.com/entry/2020/07/28/000000_2
◆Qbot steals your email threads again to infect other victims (BleepingComputer, 2020/08/27 15:32)
[Qbotは、他の被害者に感染するために再びあなたの電子メールのスレッドを盗む]
https://www.bleepingcomputer.com/news/security/qbot-steals-your-email-threads-again-to-infect-other-victims/
⇒ https://malware-log.hatenablog.com/entry/2020/08/27/000000_3
◆Emotet malware's new 'Red Dawn' attachment is just as dangerous (BleepingComputer, 2020/08/29 13:34)
[Emotetetマルウェアの新しい「Red Dawn」の添付ファイルは、危険なのと同じように]
⇒ https://www.bleepingcomputer.com/news/security/emotet-malwares-new-red-dawn-attachment-is-just-as-dangerous/
https://malware-log.hatenablog.com/entry/2020/08/29/000000_1
◆マルウェア「Emotet」の攻撃急増、米CISAも警告 (ZDNet, 2020/10/08 14:20)
https://japan.zdnet.com/article/35160661/
⇒ https://malware-log.hatenablog.com/entry/2020/10/08/000000_1
◆QBot uses Windows Defender Antivirus phishing bait to infect PCs (BleepingComputer, 2020/10/12)
[QBot、Windows Defender Antivirusのフィッシング・ベイトを使ってPCに感染させる]
https://www.bleepingcomputer.com/news/security/qbot-uses-windows-defender-antivirus-phishing-bait-to-infect-pcs/
⇒ https://malware-log.hatenablog.com/entry/2020/10/12/000000_1
◆QakBot operators abandon ProLock for Egregor ransomware (HelpNetSecurity, 2020/11/23)
[QakBot運営者がEgregorランサムウェアのProLockを放棄]
https://www.helpnetsecurity.com/2020/11/23/egregor-ransomware/
⇒ https://malware-log.hatenablog.com/entry/2020/11/23/000000_2
■2021年
◆Foodservice supplier Edward Don hit by a ransomware attack (BleepingComputer, 2021/06/10 18:44)
[フードサービスプロバイダーのEdward Don社がランサムウェア攻撃を受ける]
https://www.bleepingcomputer.com/news/security/foodservice-supplier-edward-don-hit-by-a-ransomware-attack/
⇒ https://malware-log.hatenablog.com/entry/2021/06/10/000000_9
◆カスペルスキー、バンキング型トロイの木馬「QakBot」について調査 (BCN, 2021/09/07 12:00)
https://www.weeklybcn.com/journal/news/detail/20210907_185149.html
⇒ https://malware-log.hatenablog.com/entry/2021/09/07/000000_1
◆Microsoft: These are the building blocks of QBot malware attacks (BleepingComputer, 2021/12/11 11:12)
[マイクロソフト: QBotマルウェア攻撃の構成要素はこれだ]
https://www.bleepingcomputer.com/news/security/microsoft-these-are-the-building-blocks-of-qbot-malware-attacks/
⇒ https://malware-log.hatenablog.com/entry/2021/12/11/000000
■2022年
◆MSDTのゼロデイ脆弱性、悪用拡大中 - 「QBot」の拡散にも (Security NEXT, 2022/06/09)
https://www.security-next.com/137179
⇒ https://malware-log.hatenablog.com/entry/2022/06/02/000000_2
◆QBot phishing uses Windows Calculator sideloading to infect devices (BleepingComputer, 2022/07/24 11:18)
[QBot は、Windows Calculator のサイドロードを使用してデバイスを感染させるフィッシングです]
https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/
⇒ https://malware-log.hatenablog.com/entry/2022/07/24/000000
【ブログ】
■2016年
◆止まらぬランサムウェアの猛威、2016年1~3月期の脅威動向を分析 (Trendmicro, 2016/05/25)
http://blog.trendmicro.co.jp/archives/13361
⇒ https://malware-log.hatenablog.com/entry/2016/05/25/000000_1
■2018年
◆Emotet が進化: オンラインバンキングを狙うトロイの木馬から、マルウェアの流通へ (Symantec, 2018/07/23)
https://www.symantec.com/connect/blogs/emotet
⇒ https://malware-log.hatenablog.com/entry/2018/07/23/000000_5
■2020年
◆Emotet Switches to ‘Red Dawn’ Template in Weaponized Word Documents (Tripwire, 2020/08/31)
https://www.tripwire.com/state-of-security/security-data-protection/emotet-switches-to-red-dawn-template-in-weaponized-word-documents/
⇒ https://malware-log.hatenablog.com/entry/2020/08/31/000000_3
■2021年
◆From QBot...with REvil Ransomware: Initial Attack Exposure of JBS (advanced-intel.com, 2021/06/08)
[From QBot...with REvil ランサムウェア:JBSの初期攻撃の様子]
https://www.advanced-intel.com/post/from-qbot-with-revil-ransomware-initial-attack-exposure-of-jbs
⇒ https://malware-log.hatenablog.com/entry/2021/06/08/000000_16
■2022年
◆新種ランサムウェア「Black Basta」の感染活動を分析、QAKBOTやContiとの関連性とは (Trendmicro, 2022/06/01)
https://blog.trendmicro.co.jp/archives/31383
⇒ https://malware-log.hatenablog.com/entry/2022/06/01/000000_7
◆TA570 Qakbot (Qbot) tries CVE-2022-30190 (Follina) exploit (ms-msdt) (SANS, 2022/06/09)
[TA570 Qakbot (Qbot) が CVE-2022-30190 (Follina) の悪用を試みる (ms-msdt)]
https://isc.sans.edu/forums/diary/TA570+Qakbot+Qbot+tries+CVE202230190+Follina+exploit+msmsdt/28728/
⇒ https://malware-log.hatenablog.com/entry/2022/06/09/000000_6
【1 週間における脅威のまとめ(Talos)】
◆Threat Roundup for July 19 to July 26 (Talos(CISCO), 2019/07/26)
https://blog.talosintelligence.com/2019/07/threat-roundup-0719-0726.html
⇒ https://malware-log.hatenablog.com/entry/2019/07/26/000000_7
◆Threat Roundup for August 23 to August 30 (Talos, 2019/08/30)
https://blog.talosintelligence.com/2019/08/threat-roundup-0823-0830.html
⇒ https://malware-log.hatenablog.com/entry/2019/08/30/000000_10
◆Threat Roundup for October 4 to October 11 (Talos(CISCO), 2019/10/11)
https://blog.talosintelligence.com/2019/10/threat-roundup-1004-1011.html
https://alln-extcloud-storage.cisco.com/ciscoblogs/5da097d613262.txt
⇒ https://malware-log.hatenablog.com/entry/2019/10/11/000000_3
◆Threat Roundup for January 17 to January 24 (Talos(CISCO), 2020/01/24)
https://blog.talosintelligence.com/2020/01/threat-roundup-0117-0124.html
https://alln-extcloud-storage.cisco.com/blogs/1/2020/01/tru.json_.txt
⇒ https://malware-log.hatenablog.com/entry/2020/01/24/000000_5
【公開情報】
◆W32.Qakbot (Symantec, 2013/07/11)
https://www.symantec.com/ja/jp/security-center/writeup/2009-050707-0639-99
⇒ https://malware-log.hatenablog.com/entry/2013/07/11/000000_3
【資料】
◆W32.Qakbot in Detail (Symantec, 2011/06)
https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_qakbot_in_detail.pdf
https://malware-log.hatenablog.com/entry/2013/07/11/000000_3
【図表】
■2020/01/25 感染数の推移
■ 2020/08/27 (Qbotのメールサンプルと感染チェーン)
関連情報
【関連まとめ記事】
◆Bot (まとめ)
https://malware-log.hatenablog.com/entry/Bot
◆Talos の 1 週間における脅威のまとめ (まとめ)
https://malware-log.hatenablog.com/entry/Talos_Threat