FBI未能完全終止Qakbot惡意攻擊，攻擊者仍在散播勒索軟體和後門程式

思科（Cisco）旗下的威脅情報團隊Talos指出，儘管FBI在今年稍早的時候，成功瓦解了由70萬臺受駭電腦所構成的Qakbot殭屍網路，但是這項行動並沒有完全消滅Qakbot惡意攻擊者。資安研究人員近期發現Qakbot攻擊者的新活動，透過釣魚郵件的手法散播Ransom Knight勒索軟體和Remcos後門程式。

由於FBI在8月的行動，查封Qakbot惡意軟體所使用的基礎設施和加密貨幣資產，對該組織造成重大衝擊，但這顯然不代表Qakbot以及其附屬組織會就此消失，Talos最近就發現Qakbot仍在秘密活動。

值得注意的是，這項活動似乎在FBI查封Qakbot基礎設施之前就已經開始，並從那個時候一直持續到現在，而這也就表示，FBI之前的行動，並未影響Qakbot惡意攻擊者的垃圾郵件發送基礎設施，而只是拆除其指揮和控制（C2）伺服器。

Talos研究人員分析所發現的LNK檔案後設資料，以及先前Qakbot活動所使用的機器，將這個新發現的惡意攻擊活動與Qakbot的附屬組織相連結。這些攻擊者在基礎設施被拆除之前，就已經開始發送Ransom Knight勒索軟體和Remcos後門程式。研究人員不認為Qakbot攻擊者是勒索軟體即服務（Ransomware-As-A-Service）的幕後黑手，而僅是客戶的身份而已。

從8月以來，這項新發現的活動一直在進行，雖然攻擊者未再發送Qakbot，但是研究人員認為，由於幕後黑手仍然存在，並有能力重建Qakbot基礎設施。因此在未完全消除相關威脅之前，攻擊者仍有能力透過其他方式進行攻擊。