Qakbot 目击事件证实执法部门的取缔行动只是一次挫折

Qakbot 目击事件证实执法部门的取缔行动只是一次挫折

时间戳:19 年 2023 月 6 日下午 05:XNUMX
Qakbot 目击事件证实执法部门的取缔只是柏拉图区块链数据情报的一次挫折。垂直搜索。人工智能。

在美国和国际执法机构在一次广受好评的行动中拆除其分发基础设施后不到四个月,Qakbot 恶意软件又卷土重来,该行动被称为“鸭亨特设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“

最近几天,一些安全供应商报告称,发现恶意软件通过网络钓鱼电子邮件传播,目标是酒店业的组织。目前,电子邮件数量似乎相对较低。但考虑到 Qakbot 运营商过去表现出的坚韧,用不了多久,交易量就会再次回升。

到目前为止,销量较低

微软的威胁情报小组根据最近攻击中使用的有效负载的时间戳估计新的活动于 11 月 XNUMX 日开始。该公司表示,Target 收到了一名自称是 IRS 员工的用户发送的带有 PDF 附件的电子邮件。 X 上的多个帖子,该平台以前称为 Twitter。 “该 PDF 包含一个 URL,可下载经过数字签名的 Windows Installer (.msi),”微软表示。 “执行 MSI 导致使用嵌入式 DLL 的导出‘hvsi’执行来调用 Qakbot。”研究人员将威胁行为者在新活动中分发的 Qakbot 版本描述为以前未见过的版本。

Zscaler 也观察到了恶意软件的出现。在 X 上的一篇帖子中,该公司 识别出新版本 作为 64 位,使用 AES 进行网络加密并将 POST 请求发送到受感染系统上的特定路径。 Proofpoint证实了类似的目击事件 一天后,同时还指出当前活动中的 PDF 至少自 28 月 XNUMX 日起就已分发。

长期存在的威胁

Qakbot 是一种特别有害的恶意软件,至少从 2007 年就已经存在。其作者最初将该恶意软件用作银行木马,但近年来转向恶意软件即服务模型。威胁行为者通常通过网络钓鱼电子邮件分发恶意软件,受感染的系统通常会成为更大的僵尸网络的一部分。在 删除时间 700,000 月,执法部门在全球范围内发现了多达 200,000 个受 Qakbot 感染的系统,其中约 XNUMX 个位于美国。

Qakbot 附属行为者越来越多地使用它作为传播其他恶意软件的工具,最著名的是 Cobalt Strike、 野蛮的拉特尔, 以及大量勒索软件。在许多情况下,最初的访问代理使用 Qakbot 来获取对目标网络的访问权限,然后将该访问权限出售给其他威胁参与者。 “众所周知,QakBot 感染先于人为操作的勒索软件部署,包括 Conti、ProLock、Egregor、REvil、MegaCortex、Black Basta、Royal 和 PwndLocker,” 美国网络安全和基础设施安全局 今年早些时候宣布执法部门取缔的一份声明中指出。

击倒只会减慢 Qakbot 的速度

最近发现的 Qakbot 恶意软件似乎证实了一些供应商近几个月来的报告:执法部门的取缔行动对 Quakbot 攻击者的影响比普遍认为的要小。

例如,十月份,威胁搜寻者 思科Talos 报道称,在 FBI 扣押 Qakbot 基础设施后的几周和几个月内,与 Qakbot 相关的参与者继续分发 Remcos 后门和 Ransom Knight 勒索软件。 Talos 安全研究员 Guilherme Venere 认为,这表明 August 的执法行动可能只破坏了 Qakbot 的命令和控制服务器,而没有破坏其垃圾邮件传送机制。

Venere 当时表示:“虽然我们还没有看到威胁行为者在基础设施被摧毁后分发 Qakbot 本身,但我们评估该恶意软件将继续构成重大威胁。” “我们认为这种情况很可能发生,因为开发商没有被捕并且仍在运营,因此他们有可能选择重建 Qakbot 基础设施。”

安全公司 Lumu 表示,1,581 月份共有 XNUMX 起由 Qakbot 发起的针对客户的未遂攻击事件。该公司表示,在接下来的几个月里,活动基本保持在同一水平。大多数攻击都针对金融、制造、教育和政府部门的组织。

Lumu 首席执行官里卡多·维拉迭戈 (Ricardo Villadiego) 表示,该威胁组织持续传播恶意软件表明它成功避免了重大后果。他指出,该集团继续运营的能力主要取决于经济可行性、技术能力以及建立新基础设施的便利性。 “由于勒索软件模式仍然有利可图,而且法律工作并未专门针对这些犯罪活动的个人和底层结构,因此完全消除此类恶意软件网络变得具有挑战性。”

时间戳记:

更多来自 暗读