The Hacker Newsによると、QakBot は悪名高い Windows マルウェアの一種で、世界中で 70 万台以上のコンピューターを侵害したと推定され、金融詐欺やランサムウェアを促進します。

米司法省（DoJ）は、このマルウェアは被害者のコンピューターから削除され、これ以上の被害を防ぐとともに、当局が860万ドル以上の違法仮想通貨を押収したと発表した。

この国境を越えた作戦には、サイバーセキュリティ企業Zscalerの技術支援を受け、フランス、ドイツ、ラトビア、ルーマニア、オランダ、英国、米国が参加した。これは、サイバー犯罪者が使用するボットネットインフラに対する米国主導の取り締まりとしては最大規模となるが、逮捕者は発表されていない。

QakBot（別名 QBot や Pinkslipbot）は、2007 年にバンキング型トロイの木馬として活動を開始し、その後、ランサムウェアを含む感染したマシン上のマルウェアの配布ハブとして機能するようになりました。 QakBot のランサムウェアには、Conti、ProLock、Egregor、REvil、MegaCortex、Black Basta などがあります。 QakBotの運営者は、2021年10月から2023年4月の間に被害者から約5,800万ドルの身代金を受け取ったとみられている。

多くの場合、フィッシング メールを介して配布されるこのモジュール型マルウェアには、コマンド実行機能と情報収集機能が備わっています。 QakBot は、その存在を通じて継続的に更新されてきました。司法省は、マルウェアに感染したコンピューターはボットネットの一部であり、犯人は感染したコンピューターすべてを協調して遠隔操作できると述べた。

裁判所の文書によると、この攻撃はQakBotのインフラにアクセスし、FBIが管理するサーバーを通じてボットネットのトラフィックをリダイレクトし、最終的な目標は犯罪サプライチェーンの無効化だったという。サーバーは、侵入されたコンピューターに、QakBot ボットネットからマシンを削除するように設計されたアンインストーラーをダウンロードするように指示し、追加のマルウェア コンポーネントの配布を効果的に防止しました。

QakBot は時間の経過とともに洗練度を増し、新たなセキュリティ対策に対応するために戦術を急速に変化させています。 Microsoft がすべての Office アプリケーションでマクロをデフォルトで無効にした後、マルウェアは今年初めに OneNote ファイルを感染ベクトルとして使い始めました。

QakBot の攻撃チェーンでは、PDF、HTML、ZIP などの複数のファイル形式が武器化されており、その洗練度と適応性も高くなっています。マルウェアのコマンド＆コントロールサーバーのほとんどは米国、英国、インド、カナダ、フランスに設置されており、サポートインフラはロシアに設置されていると考えられている。

QakBot は、Emotet や IcedID と同様に、3 層サーバー システムを使用して、感染したコンピューターにインストールされたマルウェアを制御および通信します。ティア 1 および ティア 2 サーバーの主な目的は、感染したマシンとボットネットを制御するティア 3 サーバーの間で暗号化されたデータを含む通信を中継することです。

2023 年 6 月中旬現在、63 か国で 853 台の Tier 1 サーバーが確認されており、Tier 2 サーバーはメイン制御サーバーを隠すプロキシとして機能しています。 Abuse.ch によって収集されたデータによると、すべての QakBot サーバーは現在オフラインになっています。

HP Wolf Securityによると、QakBotは18の攻撃チェーンと56のキャンペーンを擁し、2023年第2四半期に最も活発なマルウェアファミリーの1つでもありました。これは、犯罪グループがサイバー防御システムの脆弱性を迅速に悪用して不法な利益を得ようとしている傾向を示しています。