儘管在過去幾年中,Microsoft 在採取措施打擊惡意軟件並防止其破壞方面做了值得稱讚的工作,包括最近禁止在從互聯網下載的 Office 文件中運行宏,但威脅行為者似乎總是發現臭名昭著的 Qbot 惡意軟件現在進化以保持對微軟最新
根據 Black Lotus Labs 進行的研究,最初在十多年前作為銀行木馬開始的 Qbot 惡意軟件已迅速調整其分佈網絡、部署方法以及命令和控制(C2 ) 服務器以響應 Microsoft 的更改。此外,威脅行為者還在網絡釣魚活動中引入了用於初始訪問的新技術,例如使用惡意 OneNote 文件、Web 標記規避和 HTML 走私。
“Qakbot 通過採用足智多謀的方法展示了彈性在構建和開發其架構時..它通過採用各種初始訪問方法並維護強大但規避的住宅 C2 架構來展示技術專長,”報告中寫道。
更強的適應性
除了新的部署方法外,Qbot 運營商還修改了他們如何管理他們的 C2 服務器,而不是依賴託管虛擬專用服務器 (VPS),威脅參與者現在將 C2 服務器隱藏在受感染的 Web 服務器和住宅 IP 空間中的主機中。雖然這種方法會縮短服務器的使用壽命,但黑客可以快速獲得新服務器。在垃圾郵件週期中,每周大約會啟動 90 個新的 C2 服務器。
此外,將機器人程序轉換為 C2 服務器對於 Qbot 的操作至關重要。這是因為超過 25% 的這些服務器在一天內處於活動狀態,而一半的服務器無法存活超過一周。因此,轉換後的機器人在補充 C2 服務器供應方面發揮著至關重要的作用。
更糟糕的是,該報告指出,在可預見的未來,惡意軟件將作為重大威脅持續存在。 “目前沒有 Qakbot 放緩的跡象。”
