首页
安卓软件
苹果软件
科技资讯
在国际执法机构拆除臭名昭著的QakBot僵尸网络几个月后,发现了一个分发相同恶意载荷的新网络钓鱼活动。
QakBot(也被称为“QBot”、“QuackBot”和“Pinkslipbot”)是2023年最常部署的恶意软件载入程序之一,直到8月由FBI领导的行动使其离线,并解除了70万台被感染机器与僵尸网络的连接。
微软威胁情报团队在12月15日发布于X平台(原Twitter)的一篇帖子中表示,他们已经识别出一场新的QakBot网络钓鱼活动。
“该活动始于12月11日,规模较小,针对的是酒店业,”研究人员说。
新活动的目标收到了一封伪装成美国国税局(IRS)雇员的电子邮件。邮件中附有一个PDF附件,包含一个下载数字签名的Windows安装程序(.MSI)文件的URL。
如果受害者执行了MSI文件,它将启动QakBot恶意软件。该有效载荷配备了以前未见的恶意软件版本0x500,微软研究人员表示。
尽管独特的版本号表明过去几个月可能已经引入了更新,但另一位研究人员在X平台上说:“总的来说,这个新版Qbot感觉基本上和旧东西一样,只是有一些小调整。”
“猎鸭”行动即将继续
8月,当局不仅拆除了僵尸网络——在被称为“行动猎鸭”的行动中——还没收了该团伙负责QakBot的基础设施和价值860万美元的加密货币。
虽然拆除一个耗费多年建立的重要僵尸网络被认为是一次重大胜利,但研究人员当时警告称,由于没有逮捕行动,负责QakBot的威胁行为者可能重新集结。
10月,思科塔洛斯(Cisco Talos)表示,它认为同一团伙在QakBot被打击的前几周通过网络钓鱼邮件分发了勒索骑士(Ransom Knight)勒索软件和Remcos后门。塔洛斯研究人员表示,尽管8月的突袭摧毁了该团伙的指挥和控制服务器,但并未影响到它们的垃圾邮件传输基础设施。
QakBot最初于2008年被观察到,并在多年中定期更新。一旦侵入受害者的计算机,恶意软件就可以向被感染的系统传递其他恶意载荷,包括勒索软件。
它曾被多个勒索软件团伙作为感染的初始手段使用,包括Conti和Black Basta。
Qakbot在2021年针对肉类加工商JBS的攻击中发挥了作用,该攻击干扰了其生产设施,并迫使其支付1100万美元的赎金。为了解除70万台被感染计算机与僵尸网络的连接,FBI在8月将Qakbot流量引向并通过该机构控制的服务器。这些位于美国和世界各地的被感染机器随后被指示下载一个由执法机构创建的文件,以卸载该恶意软件。
FBI打击数月后,新的QakBot网络钓鱼活动出现
在国际执法机构拆除臭名昭著的QakBot僵尸网络几个月后,发现了一个分发相同恶意载荷的新网络钓鱼活动。
QakBot(也被称为“QBot”、“QuackBot”和“Pinkslipbot”)是2023年最常部署的恶意软件载入程序之一,直到8月由FBI领导的行动使其离线,并解除了70万台被感染机器与僵尸网络的连接。
微软威胁情报团队在12月15日发布于X平台(原Twitter)的一篇帖子中表示,他们已经识别出一场新的QakBot网络钓鱼活动。
“该活动始于12月11日,规模较小,针对的是酒店业,”研究人员说。
新活动的目标收到了一封伪装成美国国税局(IRS)雇员的电子邮件。邮件中附有一个PDF附件,包含一个下载数字签名的Windows安装程序(.MSI)文件的URL。
如果受害者执行了MSI文件,它将启动QakBot恶意软件。该有效载荷配备了以前未见的恶意软件版本0x500,微软研究人员表示。
尽管独特的版本号表明过去几个月可能已经引入了更新,但另一位研究人员在X平台上说:“总的来说,这个新版Qbot感觉基本上和旧东西一样,只是有一些小调整。”
“猎鸭”行动即将继续
8月,当局不仅拆除了僵尸网络——在被称为“行动猎鸭”的行动中——还没收了该团伙负责QakBot的基础设施和价值860万美元的加密货币。
虽然拆除一个耗费多年建立的重要僵尸网络被认为是一次重大胜利,但研究人员当时警告称,由于没有逮捕行动,负责QakBot的威胁行为者可能重新集结。
10月,思科塔洛斯(Cisco Talos)表示,它认为同一团伙在QakBot被打击的前几周通过网络钓鱼邮件分发了勒索骑士(Ransom Knight)勒索软件和Remcos后门。塔洛斯研究人员表示,尽管8月的突袭摧毁了该团伙的指挥和控制服务器,但并未影响到它们的垃圾邮件传输基础设施。
QakBot最初于2008年被观察到,并在多年中定期更新。一旦侵入受害者的计算机,恶意软件就可以向被感染的系统传递其他恶意载荷,包括勒索软件。
它曾被多个勒索软件团伙作为感染的初始手段使用,包括Conti和Black Basta。
Qakbot在2021年针对肉类加工商JBS的攻击中发挥了作用,该攻击干扰了其生产设施,并迫使其支付1100万美元的赎金。为了解除70万台被感染计算机与僵尸网络的连接,FBI在8月将Qakbot流量引向并通过该机构控制的服务器。这些位于美国和世界各地的被感染机器随后被指示下载一个由执法机构创建的文件,以卸载该恶意软件。