帳號:
密碼:
最新動態
產業快訊
CTIMES/SmartAuto / 新聞 /
Sophos發布Qakbot殭屍網路研究 透過劫持電郵傳播
 

【CTIMES/SmartAuto 劉昕 報導】   2022年03月14日 星期一

瀏覽人次:【1851】

Sophos今日發布一篇對Qakbot殭屍網路的深入研究,解釋為什麼它對企業來說變得更先進和更危險。Sophos指出,殭屍網路隨後會下載一系列額外的惡意模組,以增強核心殭屍網路的功能。

在這篇《Qakbot將自己插入電子郵件對話中》文章,Sophos研究人員詳細介紹最近的Qakbot殭屍網路如何透過劫持電子郵件對話來進行傳播,並會從遭感染的電腦收集各種設定資訊,包括使用者帳戶和權限、已安裝軟體、正在運作的服務等。

Qakbot的惡意軟體程式碼具有非常規的加密功能,還會用於隱藏通訊內容。Sophos對其惡意模組進行解密,並對殭屍網路的命令和控制系統進行解碼,以解讀Qakbot如何接收指令。

Sophos首席威脅研究員Andrew Brandt表示:「Qakbot是一種模組化且多用途的殭屍網路,它透過電子郵件傳播,可扮演成惡意軟體的傳遞網路,所以越來越受到攻擊者歡迎,例如Trickbot和Emotet。Sophos對Qakbot的深入分析揭露了擷取受害電腦設定資料的細節、殭屍網路處理複雜命令序列的能力,以及一系列能擴展殭屍網路核心引擎功能的裝載。以為『商品型』殭屍網路只是煩人的日子早已遠去。」

Andrew Brandt進一步表示:「安全部門需要認真處理網路上存在的Qakbot,並且調查和刪除每一個痕跡。殭屍網路感染是勒索軟體攻擊的已知前兆。不僅是因為殭屍網路可以傳播勒索軟體,更因殭屍網路開發者會出售或出租這些遭破壞網路的存取權限。例如,Sophos就遇到過將Cobalt Strike信標直接傳送到遭感染主機的Qakbot樣本。一旦Qakbot操作者想要利用這些遭感染的電腦,他們就可以將這些信標的存取權限轉讓、出租或出售給付費的客戶。」

Qakbot殭屍網路將惡意郵件插入到現有的電子郵件討論串中。插入的電子郵件包括一句簡短的句子和一個下載包含惡意Excel試算表的zip檔案連結。使用者會被要求「打開內容」以觸發感染鏈。一旦殭屍網路感染新目標,它會進行詳細的設定掃描,將資料分享到命令和控制伺服器,然後下載其他惡意模組。

Qakbot殭屍網路會以動態連結程式庫(DLL)的形式下載至少三種不同的惡意裝載。據Sophos稱,這些DLL裝載將為殭屍網路提供更多種功能。

這些裝載會被插入瀏覽器並置入一個將密碼竊取程式碼插入網頁的模組;一個執行網路掃描的模組,收集遭感染電腦鄰近其他電腦的資料;一個會識別十幾個SMTP電子郵件伺服器地址,然後嘗試連線到每個伺服器並發送垃圾郵件的模組。

Sophos建議使用者謹慎處理不尋常或預期之外的電子郵件,即使這些郵件看似是對現有電子郵件討論的回覆。在Sophos調查的Qakbot活動中,一個收件者可視為潛在危險的信號是在URL中使用了拉丁片語。

安全部門應檢查現有安全技術提供的行為保護是否可以防止Qakbot感染。如果遭感染的使用者嘗試連線到已知的命令和控制地址或網域,網路設備也會通報系統管理員。 Sophos端點產品如Intercept X,可透過偵測攻擊者的動作和行為來保護使用者。

關鍵字: Qakbot  Sophos 
相關新聞
Sophos宣布新任總裁暨代理執行長
「全球網路安全日」重要性今勝於昔
Sophos:許多勒索軟體集團蓄意發動遠端加密攻擊
Sophos:勒索軟體集團利用媒體美化形象
Sophos:預期將出現使用AI的攻擊技術並做好偵測準備
comments powered by Disqus
相關討論
  相關文章
» SiC MOSFET:意法半導體克服產業挑戰的顛覆性技術
» 意法半導體的邊緣AI永續發展策略:超越MEMS迎接真正挑戰
» 光通訊成長態勢明確 訊號完整性一測定江山
» 分眾顯示與其控制技術
» 新一代Microchip MCU韌體開發套件 : MCC Melody簡介


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.18.227.209.214
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw