思科(Cisco)旗下的威脅情報團隊Talos指出,儘管FBI在今年稍早的時候,成功瓦解了由70萬臺受駭電腦所構成的Qakbot殭屍網路,但是這項行動並沒有完全消滅Qakbot惡意攻擊者。資安研究人員近期發現Qakbot攻擊者的新活動,透過釣魚郵件的手法散播Ransom Knight勒索軟體和Remcos後門程式。

由於FBI在8月的行動,查封Qakbot惡意軟體所使用的基礎設施和加密貨幣資產,對該組織造成重大衝擊,但這顯然不代表Qakbot以及其附屬組織會就此消失,Talos最近就發現Qakbot仍在秘密活動。

值得注意的是,這項活動似乎在FBI查封Qakbot基礎設施之前就已經開始,並從那個時候一直持續到現在,而這也就表示,FBI之前的行動,並未影響Qakbot惡意攻擊者的垃圾郵件發送基礎設施,而只是拆除其指揮和控制(C2)伺服器。

Talos研究人員分析所發現的LNK檔案後設資料,以及先前Qakbot活動所使用的機器,將這個新發現的惡意攻擊活動與Qakbot的附屬組織相連結。這些攻擊者在基礎設施被拆除之前,就已經開始發送Ransom Knight勒索軟體和Remcos後門程式。研究人員不認為Qakbot攻擊者是勒索軟體即服務(Ransomware-As-A-Service)的幕後黑手,而僅是客戶的身份而已。

從8月以來,這項新發現的活動一直在進行,雖然攻擊者未再發送Qakbot,但是研究人員認為,由於幕後黑手仍然存在,並有能力重建Qakbot基礎設施。因此在未完全消除相關威脅之前,攻擊者仍有能力透過其他方式進行攻擊。

熱門新聞

Advertisement