Trusted Design

ISC 2015-12-30: Actor using Rig EK to deliver Qbot - update

概要

A follow-up to a previous SANS Institute diary entry on the actor using Rig exploit kit (EK) to deliver Qbot. The author infected more Windows hosts from other compromised websites in order to obtain additional data about the actor. This actor has been delivering Qbot (also known as Qakbot) malware. The actor uses a gate to route traffic from the compromised website to the EK landing page. In this case, the gate returns a variable that is translated to a URL for the EK landing page. The sequence of events is: 1) User visits a website compromised by this actor; 2) An HTTP GET request for a .js file from the compromised site returns text with malicious script appended to it; 3) An HTTP GET request to the gate returns a variable used by the malicious script; and 4) The variable sent by the gate is decrypted, and an HTTP GET request for the EK landing page is sent.

Created: 2026-02-23

Indicators

Indicatorsは見つかっていない。

類似Pulses

このPulseに関連する脅威アクター (事実ベース)

Transparent Tribe

Score: 6.29
Matched TTPs:
  • T1115 - Clipboard Data
  • T1218.010 - Regsvr32
  • T1059.012 - Hypervisor CLI
MITREへのリンク →

LuminousMoth

Score: 3.03
Matched TTPs:
  • T1115 - Clipboard Data
MITREへのリンク →

Dragonfly

Score: 10.89
Matched TTPs:
  • T1115 - Clipboard Data
  • T1555.003 - Credentials from Web Browsers
  • T1218.010 - Regsvr32
  • T1059.012 - Hypervisor CLI
  • T1546.016 - Installer Packages
MITREへのリンク →

CURIUM

Score: 6.56
Matched TTPs:
  • T1115 - Clipboard Data
  • T1555.003 - Credentials from Web Browsers
  • T1059.012 - Hypervisor CLI
MITREへのリンク →

APT32

Score: 21.50
Matched TTPs:
  • T1115 - Clipboard Data
  • T1555.003 - Credentials from Web Browsers
  • T1592.004 - Client Configurations
  • T1218.012 - Verclsid
  • T1027.014 - Polymorphic Code
  • T1218.010 - Regsvr32
  • T1059.012 - Hypervisor CLI
  • T1209 - Time Providers
  • T1556 - Modify Authentication Process
MITREへのリンク →

FIN7

Score: 12.31
Matched TTPs:
  • T1115 - Clipboard Data
  • T1011.001 - Exfiltration Over Bluetooth
  • T1218.012 - Verclsid
  • T1547.002 - Authentication Package
MITREへのリンク →

Threat Group-3390

Score: 12.98
Matched TTPs:
  • T1115 - Clipboard Data
  • T1555.003 - Credentials from Web Browsers
  • T1218.010 - Regsvr32
  • T1059.012 - Hypervisor CLI
  • T1209 - Time Providers
  • T1546.017 - Udev Rules
MITREへのリンク →

Mustard Tempest

Score: 4.80
Matched TTPs:
  • T1115 - Clipboard Data
  • T1059.012 - Hypervisor CLI
MITREへのリンク →

APT28

Score: 11.55
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1547.002 - Authentication Package
  • T1218.010 - Regsvr32
  • T1059.012 - Hypervisor CLI
  • T1055.008 - Ptrace System Calls
MITREへのリンク →

OilRig

Score: 18.49
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1048 - Exfiltration Over Alternative Protocol
  • T1218.010 - Regsvr32
  • T1592.002 - Software
  • T1128 - Netsh Helper DLL
  • T1209 - Time Providers
  • T1556 - Modify Authentication Process
MITREへのリンク →

FIN13

Score: 6.46
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1209 - Time Providers
  • T1569.002 - Service Execution
MITREへのリンク →

BackdoorDiplomacy

Score: 3.53
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1209 - Time Providers
MITREへのリンク →

Agrius

Score: 3.53
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1209 - Time Providers
MITREへのリンク →

Deep Panda

Score: 4.51
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1027.014 - Polymorphic Code
MITREへのリンク →

APT39

Score: 8.86
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1547.002 - Authentication Package
  • T1209 - Time Providers
  • T1569.002 - Service Execution
MITREへのリンク →

Mustang Panda

Score: 14.24
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1218.012 - Verclsid
  • T1218.010 - Regsvr32
  • T1209 - Time Providers
  • T1055.005 - Thread Local Storage
  • T1556 - Modify Authentication Process
MITREへのリンク →

Tropic Trooper

Score: 7.77
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1218.010 - Regsvr32
  • T1128 - Netsh Helper DLL
  • T1209 - Time Providers
MITREへのリンク →

Ember Bear

Score: 9.16
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1218.010 - Regsvr32
  • T1209 - Time Providers
  • T1003.003 - NTDS
MITREへのリンク →

HAFNIUM

Score: 5.90
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1055.008 - Ptrace System Calls
MITREへのリンク →

Sandworm Team

Score: 8.49
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1547.002 - Authentication Package
  • T1218.010 - Regsvr32
  • T1546.016 - Installer Packages
MITREへのリンク →

Fox Kitten

Score: 6.82
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1491 - Defacement
  • T1209 - Time Providers
MITREへのリンク →

Tonto Team

Score: 3.26
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1218.010 - Regsvr32
MITREへのリンク →

Volt Typhoon

Score: 12.58
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1491 - Defacement
  • T1546.016 - Installer Packages
  • T1209 - Time Providers
  • T1569.002 - Service Execution
MITREへのリンク →

APT38

Score: 12.60
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1491 - Defacement
  • T1218.012 - Verclsid
  • T1048 - Exfiltration Over Alternative Protocol
  • T1059.012 - Hypervisor CLI
MITREへのリンク →

APT29

Score: 18.52
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1592.004 - Client Configurations
  • T1218.012 - Verclsid
  • T1218.010 - Regsvr32
  • T1218.009 - Regsvcs/Regasm
  • T1223 - Compiled HTML File
MITREへのリンク →

Magic Hound

Score: 7.69
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1547.002 - Authentication Package
  • T1059.012 - Hypervisor CLI
  • T1209 - Time Providers
MITREへのリンク →

BlackByte

Score: 3.53
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1209 - Time Providers
MITREへのリンク →

Medusa Group

Score: 10.81
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1128 - Netsh Helper DLL
  • T1209 - Time Providers
  • T1094 - Custom Command and Control Protocol
MITREへのリンク →

Leviathan

Score: 13.76
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1027.014 - Polymorphic Code
  • T1218.010 - Regsvr32
  • T1059.012 - Hypervisor CLI
  • T1546.016 - Installer Packages
  • T1546.017 - Udev Rules
MITREへのリンク →

Sea Turtle

Score: 3.26
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1218.010 - Regsvr32
MITREへのリンク →

Kimsuky

Score: 13.38
Matched TTPs:
  • T1555.003 - Credentials from Web Browsers
  • T1218.012 - Verclsid
  • T1027.014 - Polymorphic Code
  • T1547.002 - Authentication Package
  • T1003.003 - NTDS
MITREへのリンク →

Scattered Spider

Score: 11.55
Matched TTPs:
  • T1491 - Defacement
  • T1619 - Cloud Storage Object Discovery
  • T1090.004 - Domain Fronting
MITREへのリンク →

Moonstone Sleet

Score: 3.29
Matched TTPs:
  • T1491 - Defacement
MITREへのリンク →

Chimera

Score: 5.05
Matched TTPs:
  • T1491 - Defacement
  • T1209 - Time Providers
MITREへのリンク →

BRONZE BUTLER

Score: 7.10
Matched TTPs:
  • T1592.004 - Client Configurations
  • T1218.010 - Regsvr32
  • T1059.012 - Hypervisor CLI
MITREへのリンク →

Sidewinder

Score: 3.83
Matched TTPs:
  • T1218.012 - Verclsid
  • T1218.010 - Regsvr32
MITREへのリンク →

Lazarus Group

Score: 22.40
Matched TTPs:
  • T1218.012 - Verclsid
  • T1547.002 - Authentication Package
  • T1218.010 - Regsvr32
  • T1059.012 - Hypervisor CLI
  • T1546.016 - Installer Packages
  • T1209 - Time Providers
  • T1055.005 - Thread Local Storage
  • T1569.002 - Service Execution
  • T1556 - Modify Authentication Process
MITREへのリンク →

MuddyWater

Score: 6.23
Matched TTPs:
  • T1218.012 - Verclsid
  • T1547.002 - Authentication Package
  • T1218.010 - Regsvr32
MITREへのリンク →

TA2541

Score: 8.24
Matched TTPs:
  • T1218.012 - Verclsid
  • T1128 - Netsh Helper DLL
  • T1546.017 - Udev Rules
MITREへのリンク →

Inception

Score: 6.58
Matched TTPs:
  • T1218.012 - Verclsid
  • T1027.014 - Polymorphic Code
  • T1218.010 - Regsvr32
MITREへのリンク →

Earth Lusca

Score: 6.94
Matched TTPs:
  • T1218.012 - Verclsid
  • T1059.012 - Hypervisor CLI
  • T1546.016 - Installer Packages
MITREへのリンク →

Confucius

Score: 3.83
Matched TTPs:
  • T1218.012 - Verclsid
  • T1218.010 - Regsvr32
MITREへのリンク →

TA551

Score: 5.09
Matched TTPs:
  • T1218.012 - Verclsid
  • T1027.014 - Polymorphic Code
MITREへのリンク →

Gamaredon Group

Score: 12.43
Matched TTPs:
  • T1218.012 - Verclsid
  • T1061 - Graphical User Interface
  • T1547.002 - Authentication Package
  • T1546.017 - Udev Rules
MITREへのリンク →

PROMETHIUM

Score: 5.90
Matched TTPs:
  • T1547.015 - Login Items
  • T1059.012 - Hypervisor CLI
MITREへのリンク →

UNC3886

Score: 5.63
Matched TTPs:
  • T1547.015 - Login Items
  • T1218.010 - Regsvr32
MITREへのリンク →

LAPSUS$

Score: 4.13
Matched TTPs:
  • T1619 - Cloud Storage Object Discovery
MITREへのリンク →

Dark Caracal

Score: 5.20
Matched TTPs:
  • T1048 - Exfiltration Over Alternative Protocol
  • T1059.012 - Hypervisor CLI
MITREへのリンク →

Silence

Score: 3.44
Matched TTPs:
  • T1048 - Exfiltration Over Alternative Protocol
MITREへのリンク →

APT41

Score: 6.70
Matched TTPs:
  • T1048 - Exfiltration Over Alternative Protocol
  • T1218.010 - Regsvr32
  • T1209 - Time Providers
MITREへのリンク →

Cobalt Group

Score: 8.75
Matched TTPs:
  • T1027.014 - Polymorphic Code
  • T1218.010 - Regsvr32
  • T1128 - Netsh Helper DLL
  • T1209 - Time Providers
MITREへのリンク →

Storm-0501

Score: 6.88
Matched TTPs:
  • T1027.014 - Polymorphic Code
  • T1090.004 - Domain Fronting
MITREへのリンク →

Blue Mockingbird

Score: 7.28
Matched TTPs:
  • T1027.014 - Polymorphic Code
  • T1001.001 - Junk Data
MITREへのリンク →

APT19

Score: 4.51
Matched TTPs:
  • T1027.014 - Polymorphic Code
  • T1059.012 - Hypervisor CLI
MITREへのリンク →

APT37

Score: 5.66
Matched TTPs:
  • T1547.002 - Authentication Package
  • T1218.010 - Regsvr32
  • T1059.012 - Hypervisor CLI
MITREへのリンク →

APT12

Score: 3.89
Matched TTPs:
  • T1547.002 - Authentication Package
  • T1218.010 - Regsvr32
MITREへのリンク →

Turla

Score: 9.93
Matched TTPs:
  • T1547.002 - Authentication Package
  • T1059.012 - Hypervisor CLI
  • T1546.016 - Installer Packages
  • T1569.002 - Service Execution
MITREへのリンク →

Andariel

Score: 3.26
Matched TTPs:
  • T1218.010 - Regsvr32
  • T1059.012 - Hypervisor CLI
MITREへのリンク →

BlackTech

Score: 3.26
Matched TTPs:
  • T1218.010 - Regsvr32
  • T1209 - Time Providers
MITREへのリンク →

Patchwork

Score: 3.26
Matched TTPs:
  • T1218.010 - Regsvr32
  • T1059.012 - Hypervisor CLI
MITREへのリンク →

Axiom

Score: 7.80
Matched TTPs:
  • T1218.010 - Regsvr32
  • T1059.012 - Hypervisor CLI
  • T1160 - Launch Daemon
MITREへのリンク →

Higaisa

Score: 7.57
Matched TTPs:
  • T1218.010 - Regsvr32
  • T1569.002 - Service Execution
  • T1546.017 - Udev Rules
MITREへのリンク →

Elderwood

Score: 3.26
Matched TTPs:
  • T1218.010 - Regsvr32
  • T1059.012 - Hypervisor CLI
MITREへのリンク →

Darkhotel

Score: 3.26
Matched TTPs:
  • T1218.010 - Regsvr32
  • T1059.012 - Hypervisor CLI
MITREへのリンク →

APT33

Score: 4.24
Matched TTPs:
  • T1218.010 - Regsvr32
  • T1556 - Modify Authentication Process
MITREへのリンク →

Velvet Ant

Score: 5.67
Matched TTPs:
  • T1128 - Netsh Helper DLL
  • T1569.002 - Service Execution
MITREへのリンク →

RedCurl

Score: 4.51
Matched TTPs:
  • T1128 - Netsh Helper DLL
  • T1209 - Time Providers
MITREへのリンク →

FIN6

Score: 7.26
Matched TTPs:
  • T1128 - Netsh Helper DLL
  • T1209 - Time Providers
  • T1556 - Modify Authentication Process
MITREへのリンク →

FIN8

Score: 5.49
Matched TTPs:
  • T1128 - Netsh Helper DLL
  • T1556 - Modify Authentication Process
MITREへのリンク →

Leafminer

Score: 3.53
Matched TTPs:
  • T1059.012 - Hypervisor CLI
  • T1209 - Time Providers
MITREへのリンク →

Daggerfly

Score: 4.60
Matched TTPs:
  • T1059.012 - Hypervisor CLI
  • T1546.016 - Installer Packages
MITREへのリンク →

Equation

Score: 4.13
Matched TTPs:
  • T1130 - Install Root Certificate
MITREへのリンク →

Strider

Score: 7.06
Matched TTPs:
  • T1130 - Install Root Certificate
  • T1569.002 - Service Execution
MITREへのリンク →

Contagious Interview

Score: 7.28
Matched TTPs:
  • T1221 - Template Injection
  • T1556 - Modify Authentication Process
MITREへのリンク →

Lotus Blossom

Score: 4.69
Matched TTPs:
  • T1209 - Time Providers
  • T1569.002 - Service Execution
MITREへのリンク →

Molerats

Score: 3.15
Matched TTPs:
  • T1546.017 - Udev Rules
MITREへのリンク →

Mofang

Score: 3.15
Matched TTPs:
  • T1546.017 - Udev Rules
MITREへのリンク →

このPulseに関連する脅威アクター (推論ベース)

APT32

Score: 0.79
Matched TTPs:
  • T1059.012 - Hypervisor CLI
  • T1556 - Modify Authentication Process
  • T1218.010 - Regsvr32
  • T1115 - Clipboard Data
  • T1555.003 - Credentials from Web Browsers
  • T1218.012 - Verclsid
  • T1592.004 - Client Configurations
  • T1027.014 - Polymorphic Code
  • T1209 - Time Providers
MITREへのリンク →

Lazarus Group

Score: 0.77
Matched TTPs:
  • T1059.012 - Hypervisor CLI
  • T1547.002 - Authentication Package
  • T1055.005 - Thread Local Storage
  • T1556 - Modify Authentication Process
  • T1569.002 - Service Execution
  • T1218.010 - Regsvr32
  • T1218.012 - Verclsid
  • T1546.016 - Installer Packages
  • T1209 - Time Providers
MITREへのリンク →

APT29

Score: 0.66
Matched TTPs:
  • T1218.010 - Regsvr32
  • T1223 - Compiled HTML File
  • T1555.003 - Credentials from Web Browsers
  • T1218.009 - Regsvcs/Regasm
  • T1218.012 - Verclsid
  • T1592.004 - Client Configurations
MITREへのリンク →

OilRig

Score: 0.65
Matched TTPs:
  • T1556 - Modify Authentication Process
  • T1218.010 - Regsvr32
  • T1555.003 - Credentials from Web Browsers
  • T1048 - Exfiltration Over Alternative Protocol
  • T1592.002 - Software
  • T1209 - Time Providers
  • T1128 - Netsh Helper DLL
MITREへのリンク →

Related CVEs

このPulseに見つかったCVEはありません。

Pulse – 脅威アクター グラフ

← Pulse一覧に戻る