微软公布 Qakbot 恶意程序攻击链,模块化构建带来新挑战

时间:2021-12-21来源:栏目:互联网

近日,微软威胁情报团队发布了一份关于广泛活跃的银行木马程序Qakbot的详细分析报告。恶意程序根据其感染链被分解成不同的构件。微软认为,这将有助于主动有效地检测和阻断感染...

近日,微软威胁情报团队发布了一份关于广泛活跃的银行木马程序Qakbot的详细分析报告。恶意程序根据其感染链被分解成不同的构件。微软认为,这将有助于主动有效地检测和阻断感染链。

根据微软的分析,Qakbot被认为是由网络犯罪组织Gold Lagoon创建的。这是一种流行的信息窃取恶意软件。近年来,它已经成为许多关键和广泛的勒索软件攻击的前兆。它提供了一种恶意软件安装即服务,被恶意团伙用来传递勒索软件,严重威胁着网络世界。

据网络安全行业门户网站GEEKNB.COM称,模块化恶意软件于2007年首次被发现。它已经从早期的银行木马演变为可以泄露数据的瑞士军刀,并作为第二阶段有效载荷(包括ransomware)的传输机制。还值得注意的是,其策略是通过电子邮件收集器组件从Outlook客户端劫持受害者的合法电子邮件线程,并将这些线程用作网络钓鱼诱饵来感染其他机器。

通过破坏IMAP服务和电子邮件服务提供商(ESP),或者劫持电子邮件线程,攻击者可以利用潜在受害者对他们之前交流过的人的信任,还允许他们假装是被感染的组织。

2021年3月25日至2021年10月25日连续7个月对Qakbot的追踪活动显示,美国、日本、德国、印度、台湾省、意大利、韩国、土耳其、西班牙、法国为主要目标国家,入侵主要针对电信、科技、教育部门。

根据微软的分析,Qakbot的攻击链由几个构建块组成,涉及入侵的各个阶段,从用于分发恶意软件的方法(链接、附件或嵌入图像)开始,然后进行一系列活动,如利用后凭据窃取、电子邮件泄露、横向移动、钴击信标和ransomware部署。

根据网络安全行业门户网站GEEKNB.COM的说法,攻击者发送的与Qakbot相关的电子邮件有时可能会附带ZIP存档文件附件,包括包含Excel 4.0宏的电子表格,这是网络钓鱼攻击中广泛滥用的初始访问方法。无论使用什么机制传播恶意软件,这些恶意活动都有一个共同点,那就是使用恶意的Excel 4.0宏。

虽然在Microsoft Office中默认情况下宏是关闭的,但是电子邮件的收件人将被提示启用宏来查看文档的实际内容。这将触发下一阶段的攻击,下载恶意攻击负载并执行它。

根据安全研究人员的说法,Qakbot的模块化和灵活性可能会给安全分析师和维护者带来挑战,因为并发的Qakbot活动在每个受影响的设备上可能看起来完全不同,而对Qakbot更深入的了解对于制定针对它的全面协调的防御策略非常重要。

1.本站部分来源于互联网用户自主整合上传,如有侵权,请联系我们删除;

2.文章内容并不代表本站的观点或立场,如有关于文章内容,版权或其它问题请联系删除;

3.本文地址:https://www.jiatu888.com/hlw/86760.html

最新文章

网站介绍

本站部分内容收集于互联网,如有侵犯贵司(个人)版权,请联系本站删除。

Copyright@2018-2021 www.jiatu888.com 嘉图网 All Rights Reserved 粤ICP备20051635号 网站地图 tag列表

嘉图网