微软公布 Qakbot 恶意程序攻击链，模块化构建带来新挑战

近日，微软威胁情报团队对广泛活跃的银行木马程序 Qakbot 发布了详细的分析报告，该恶意程序根据其感染链已被分解为不同的构建模块，微软认为这将有助于实现有效的主动检测和阻断感染链。

根据微软的分析，Qakbot被认为是由网络犯罪组织 Gold Lagoon 创建的，它是一种流行的信息窃取恶意软件，近年来，它已成为许多关键且广泛的勒索软件攻击的前身，它提供了一种恶意软件安装即服务，被恶意团伙用于投递勒索软件，严重威胁网络世界。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，模块化恶意软件于 2007 年首次被发现，它已经从早期的银行木马演变为能够进行数据泄露并充当第二阶段有效载荷（包括勒索软件）的传送机制的瑞士军刀。同样值得注意的是它的策略是通过电子邮件收集器组件从 Outlook 客户端劫持受害者的​​合法电子邮件线程，并将这些线程用作网络钓鱼诱饵来感染其他机器。

该恶意程序通过破坏 IMAP 服务和电子邮件服务提供商 (ESP)，或劫持电子邮件线程，攻击者可以利用潜在受害者对他们以前与之通信的人的信任，并且还允许冒充受感染的组织。

在 2021 年 3 月 25 日至 2021 年 10 月 25 日七个月的持续跟踪 Qakbot 的活动表明，美国、日本、德国、印度、台湾、意大利、韩国、土耳其、西班牙和法国是主要目标国家，入侵主要针对电信、技术和教育部门。

根据微软的分析，Qakbot 的攻击链由几个构建模块组成，这些构建模块涉及了入侵的各个阶段，从分发恶意软件所采用的方法（链接、附件或嵌入图像）开始，然后再进行一系列后利用凭据盗窃、电子邮件泄露、横向移动以及 Cobalt Strike 信标和勒索软件的部署等活动。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，攻击者发送的与 Qakbot 相关的电子邮件有时可能附带一个 ZIP 存档文件附件，其中包括一个包含Excel 4.0 宏的电子表格，这是一种在网络钓鱼攻击中被广泛滥用的初始访问方式。无论采用何种机制来传播恶意软件，这些恶意活动都有一个共同点，就是使用恶意的 Excel 4.0 宏。

虽然宏在 Microsoft Office 中默认关闭，但系统会提示电子邮件的收件人启用宏以查看文档的实际内容。这会触发下一阶段的攻击，下载恶意攻击载荷并执行。

安全研究人员称，Qakbot 的模块化和灵活性可能给安全分析师和防御者带来挑战，因为并发的 Qakbot 活动在每个受影响的设备上看起来可能截然不同，对 Qakbot 的更深入了解对于针对它制定全面协调的防御战略至关重要。