2023年初頭に登場した新型マルウェア「PikaBot」がランサムウェアギャングによる攻撃で使用されている。PikaBotは、2023年8月に停止された有名なトロイの木馬「QakBot(QBot)」の後継とされている。QBotは、初期アクセスの容易化や二次ペイロードの配信において多くのランサムウェアギャングに利用されていた。PikaBotは、モジュラー型トロイの木馬であり、攻撃者が機能を簡単に追加または更新できるように設計されている。これにより、任意のコマンドの実行、追加ペイロードのダウンロード、正当なプロセスへの悪意のあるシェルコードの注入が可能となる。
PikaBotの配布は、主に電子メールスパムキャンペーンを通じて行われているが、悪意のある検索広告を通じた配布も確認されている。特定の国をターゲットにした地理的にローカライズされたスパムメールが使用され、これらのメールには外部のSMB(Server Message Block)共有へのリンクが含まれており、そこには悪意のあるzipファイルがホストされている。zipファイルをダウンロードして開くと、PikaBotに感染する。
ランサムウェアギャングは、PikaBotを使用して、暗号化された通信やコマンド&コントロール(C&C)サーバーとの通信、感染したシステムに関する詳細情報の取得など、様々な後続活動を行う。PikaBotの阻止には、ウェブコンテンツフィルターやフィッシングトレーニングなどの初期アクセス防止策と、PikaBotのような脅威を自動的に検出して隔離するエンドポイント検出・対応(EDR)プラットフォームの選択が重要である。また、マルウェアの進化に対応するためには、脅威ハンティングが不可欠である。脅威ハンティングは、ネットワーク内で静かに潜んでいる高度に難読化された脅威を発見し、対処するのに役立つ。
【ニュース解説】
2023年初頭に登場し、ランサムウェアギャングによる攻撃で使用されている新型マルウェア「PikaBot」は、その前身である「QakBot(QBot)」の後継とされています。QBotは、その多機能性により多くのランサムウェアギャングに利用されていましたが、2023年8月にその活動が停止されました。その後を継ぐ形で登場したPikaBotは、モジュラー型トロイの木馬として設計されており、攻撃者が機能を容易に追加または更新できる柔軟性を持っています。これにより、任意のコマンドの実行、追加ペイロードのダウンロード、正当なプロセスへの悪意のあるシェルコードの注入が可能となり、攻撃者にとって非常に有効なツールとなっています。
PikaBotの配布方法は、電子メールスパムキャンペーンや悪意のある検索広告(マルバタイジング)を通じて行われています。特に、地理的にローカライズされたスパムメールを利用し、外部のSMB共有へのリンクを含むメールを送信することで、悪意のあるzipファイルをダウンロードさせ、PikaBotに感染させる手法が確認されています。
ランサムウェアギャングは、PikaBotを利用して、暗号化された通信やコマンド&コントロール(C&C)サーバーとの通信、感染したシステムに関する詳細情報の取得など、様々な後続活動を行います。これにより、攻撃の効果を最大化し、ランサムウェアの配布やその他の悪意のある活動を容易に行うことができます。
PikaBotの阻止には、初期アクセスを防ぐためのウェブコンテンツフィルターやフィッシングトレーニングの実施、そしてPikaBotのような脅威を自動的に検出して隔離するエンドポイント検出・対応(EDR)プラットフォームの選択が重要です。さらに、マルウェアの進化に対応するためには、脅威ハンティングが不可欠です。脅威ハンティングにより、ネットワーク内で静かに潜んでいる高度に難読化された脅威を発見し、対処することが可能となります。
PikaBotの出現は、ランサムウェアギャングの手法がますます高度化していることを示しています。そのため、組織は、最新の脅威に対応するためのセキュリティ対策を常に更新し、従業員への教育を強化することが求められます。また、脅威ハンティングを含む先進的なセキュリティ対策の導入により、これらの脅威に効果的に対処することが可能です。
from PikaBot malware on the rise: What organizations need to know .
