Qakbot木马团伙继续进行网路攻击

主要重点

Qakbot木马团伙在8月份继续进行网路攻击，尽管当局已经查获其基础设施并拆解了其建立多年的大型机器人网路。行动之前，Qakbot是ReliaQuest报告中最常见的木马载入器，占该公司观察到的所有载入器的30。虽然当局查获了该团伙的资产，但由于尚未逮捕主要成员，因此研究人员警告可能会重新组织并继续其网路犯罪行为。Cisco Talos认为该团伙在拆除之前曾通过钓鱼邮件散播Ransom Knight勒索软体及Remcos后门。

据证据显示，臭名昭著的Qakbot木马团伙在8月份仍然在进行网路攻击，即便当局已经查获了其基础设施并拆解了这个经过多年打造的强大机器人网路。在FBI主导的行动之前，Qakbot也被称为“QBot”、“QuackBot”和“Pinkslipbot”是ReliaQuest观察到的最为常见的木马载入器，占今年前七个月中所有载入器的30。

小火箭ios账号购买日期事件2023年8月当局查获Qakbot木马团伙的资产及基础设施2023年10月Cisco Talos发布报告，揭示勒索活动的持续

尽管当局在8月份查获了团伙的基础设施及财务资产，但研究人员在当时已经警告，由于没有逮捕任何成员，该团伙的关键成员可能会重新组织并继续从事网路犯罪活动。在10月5日的部落格文章中，Cisco Talos表示，他们相信该团伙在拆除行动之前几周内已经开始通过钓鱼邮件散播Ransom Knight勒索软体和Remcos后门。

这篇部落格文章指出，尽管这次涵盖多个机构的突击行动摧毁了该团体的指挥和控制伺服器，但并未影响其垃圾邮件投递基础设施。Cisco Talos将Qakbot和Ransom Knight的勒索软体服务联系起来，透过一个恶意LNK档案的元数据，该档案附加在最新的诈骗邮件中，并与之前Qakbot活动中使用的机器相连接。

研究团队早先曾使用LNK档案的元数据来识别和追踪威胁行为者，包括Qakbot的相关者。在8月，即拆除行动的月份，他们发现一个在Ransom Knight活动中使用的LNK档案，其创建者的机器早先已被确定为与Qakbot活动相关的机器。

Cisco Talos还指出，新活动中与Qakbot以前活动中常见的特征有其他相似之处，包括在LNK档案的档名中使用“紧急财务事宜”的主题，例如：“未支付的发票26Augustpdflnk”。

威胁研究员Guilherme Venere在该文章中指出：“我们不认为Qakbot的威胁行为者是Ransom Knight的勒索服务提供者，而只是该服务的客户。”

“由于这项新活动自2023年8月初开始以来并未受到拆除行动的影响，我们认为FBI的行动仅影响了该团伙的指挥和控制伺服器，而对其钓鱼电子邮件投递基础设施未造成影响。”