2023 年 8 月，美國聯(lián)邦調(diào)查局宣布，在名為“獵鴨行動”的國際執(zhí)法活動中，成功拆除 Qakbot 僵尸網(wǎng)絡(luò)（Qakbot 也稱 QBot、QuackBot 和 Pinkslipbot，自 2008 年以來一直非?；钴S）。然而 Security A ffairs 網(wǎng)站近日披露，QakBot 惡意軟件背后運(yùn)營商仍然在活躍，他們發(fā)動一場網(wǎng)絡(luò)釣魚活動，主要提供勒索軟件和 Remcos RAT。

據(jù)悉， "獵鴨行動"由美國、法國、德國、荷蘭、羅馬尼亞、拉脫維亞和英國等國執(zhí)法機(jī)構(gòu)一同參與。

QakBot 生命力強(qiáng)勁，死灰復(fù)燃

"獵鴨行動"并沒有完全解決 Qakbot 惡意軟件 ，Cisco Talos 研究人員發(fā)現(xiàn)其背后運(yùn)營商仍然很活躍。據(jù)研究人員透露，Qakbot 惡意軟件背后運(yùn)營商自 2023 年 8 月初以來一直在開展活動，旨在傳播 Ransom Knight 勒索軟件和 Remcos RAT。

值得一提的是，該網(wǎng)絡(luò)攻擊活動在聯(lián)邦調(diào)查局于 8 月底關(guān)閉 Qakbot 基礎(chǔ)設(shè)施之前就已經(jīng)開始了，目前仍在進(jìn)行中。網(wǎng)絡(luò)安全專家通過將此次攻擊中使用的 LNK 文件中的元數(shù)據(jù)與此前 Qakbot 活動中的機(jī)器聯(lián)系起來，追蹤到了新網(wǎng)絡(luò)攻擊活動。Talos 表示這一活動可能與 Qakbot 附屬組織有關(guān)，并推測背后運(yùn)營商仍在運(yùn)營。

網(wǎng)絡(luò)安全專家推測聯(lián)邦調(diào)查局發(fā)起的聯(lián)合執(zhí)法行動可能沒有影響 Qakbot 垃圾郵件發(fā)送基礎(chǔ)設(shè)施，其影響僅限于 C2 基礎(chǔ)設(shè)施的一部分。

Talos 在發(fā)布的分析報告中表示，Talos 于 2023 年 8 月確定了在上述同一臺機(jī)器上創(chuàng)建的新 LNK 文件，但觀察到文件的有效載荷在命令行中指向一個網(wǎng)絡(luò)共享，該網(wǎng)絡(luò)共享提供了 Ransom Knight 勒索軟件的一個變種。

Talos 還觀察到一些文件名是用意大利語書寫的，這表明該活動的目標(biāo)是意大利用戶，這些信息使用 Zip 壓縮包，其中包含 LNK 文件和一個 XLL 文件（XLL 是 Excel 加載項(xiàng)的擴(kuò)展名），XLL 文件是攻擊者和Ransom Knight 在感染后用來訪問機(jī)器的 Remcos 后門。

Talos 在分析報告中聲稱其內(nèi)部研究人員并不認(rèn)為 Qakbot 威脅攻擊者是贖金軟件即服務(wù)幕后黑手，他們只是該服務(wù)的客戶。上述提到的新網(wǎng)絡(luò)攻擊活動從 2023 年 8 月初就開始了，并且在被攻破后也沒有停止，因此認(rèn)為 FBI 的行動并沒有影響 Qakbot 的釣魚電子郵件發(fā)送基礎(chǔ)設(shè)施，而只是影響了其指揮和控制服務(wù)器。

此外，分析報告中還指出雖然安全研究人員還沒有觀察到威脅攻擊者在 Qakbot 基礎(chǔ)設(shè)施被拆除后分發(fā)惡意軟件，但鑒于其運(yùn)營商仍然活躍，可能還會選擇重建 Qakbot 基礎(chǔ)設(shè)施，以完全恢復(fù)拆除前的狀態(tài)。