死灰复燃!QakBot 恶意软件仍在运行中
2023-10-9 11:18:10 Author: www.freebuf.com(查看原文) 阅读量:15 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

2023 年 8 月,美国联邦调查局宣布,在名为“猎鸭行动”的国际执法活动中,成功拆除 Qakbot 僵尸网络(Qakbot 也称 QBot、QuackBot 和 Pinkslipbot,自 2008 年以来一直非常活跃)。然而 Security A ffairs 网站近日披露,QakBot 恶意软件背后运营商仍然在活跃,他们发动一场网络钓鱼活动,主要提供勒索软件和 Remcos RAT。1696821994_652372ead443c787f1f38.png!small

据悉, "猎鸭行动"由美国、法国、德国、荷兰、罗马尼亚、拉脱维亚和英国等国执法机构一同参与。

QakBot 生命力强劲,死灰复燃

"猎鸭行动"并没有完全解决 Qakbot 恶意软件 ,Cisco Talos 研究人员发现其背后运营商仍然很活跃。据研究人员透露,Qakbot 恶意软件背后运营商自 2023 年 8 月初以来一直在开展活动,旨在传播 Ransom Knight 勒索软件和 Remcos RAT。

值得一提的是,该网络攻击活动在联邦调查局于 8 月底关闭 Qakbot 基础设施之前就已经开始了,目前仍在进行中。网络安全专家通过将此次攻击中使用的 LNK 文件中的元数据与此前 Qakbot 活动中的机器联系起来,追踪到了新网络攻击活动。Talos 表示这一活动可能与 Qakbot 附属组织有关,并推测背后运营商仍在运营。

网络安全专家推测联邦调查局发起的联合执法行动可能没有影响 Qakbot 垃圾邮件发送基础设施,其影响仅限于 C2 基础设施的一部分。

Talos 在发布的分析报告中表示,Talos 于 2023 年 8 月确定了在上述同一台机器上创建的新 LNK 文件,但观察到文件的有效载荷在命令行中指向一个网络共享,该网络共享提供了 Ransom Knight 勒索软件的一个变种。

Talos 还观察到一些文件名是用意大利语书写的,这表明该活动的目标是意大利用户,这些信息使用 Zip 压缩包,其中包含 LNK 文件和一个 XLL 文件(XLL 是 Excel 加载项的扩展名),XLL 文件是攻击者和Ransom Knight 在感染后用来访问机器的 Remcos 后门。1696821753_652371f9c9db3308824bd.png!small

Talos 在分析报告中声称其内部研究人员并不认为 Qakbot 威胁攻击者是赎金软件即服务幕后黑手,他们只是该服务的客户。上述提到的新网络攻击活动从 2023 年 8 月初就开始了,并且在被攻破后也没有停止,因此认为 FBI 的行动并没有影响 Qakbot 的钓鱼电子邮件发送基础设施,而只是影响了其指挥和控制服务器。

此外,分析报告中还指出虽然安全研究人员还没有观察到威胁攻击者在 Qakbot 基础设施被拆除后分发恶意软件,但鉴于其运营商仍然活跃,可能还会选择重建 Qakbot 基础设施,以完全恢复拆除前的状态。

文章来源:

https://securityaffairs.com/152087/cyber-crime/qakbot-threat-actors-still-operational.html?_gl=1*1gmeqmi*_ga*NjYyNDMxOTU5LjE2MzU5OTc2MDM.*_ga_NPN4VEKBTY*MTY5NjgxNzYwMy4xNDUuMC4xNjk2ODE3NjAzLjYwLjAuMA..*_ga_8ZWTX5HC4Z*MTY5NjgxNzYwMy4xMjYuMC4xNjk2ODE3NjAzLjAuMC4w&_ga=2.127436174.246524512.1696747860-662431959.1635997603


文章来源: https://www.freebuf.com/news/379942.html
如有侵权请联系:admin#unsafe.sh