QakBot 被摧毁后，DarkGate 与 PikaBot 接棒传播恶意软件

今年 9 月开始传播的被摧棒传播恶 DarkGate 恶意软件已经发展成为世界上最先进的网络钓鱼攻击行动之一。从那时起，毁后DarkGate 就不断完善检测规避策略与各种反分析技术。接件DarkGate 与 PikaBot 在 QakBot 销声匿迹一个月后激增
，意软并且与 QakBot 的被摧棒传播恶 TTP 相似。攻击者向各行各业传播了大量电子邮件，毁后由于投递了恶意软件加载程序 ，接件受害者可能面临更复杂的意软威胁，如勒索软件等。被摧棒传播恶

今年 8 月，毁后美国联邦调查局和司法部宣布司法机构已经捣毁了 QakBot 的接件攻击基础设施。从那时起 ，服务器租用意软QakBot 就陷入沉寂 ，被摧棒传播恶攻击基础设施不再有什么变化。毁后虽然 QakBot 的接件攻击者与 DarkGate 与 PikaBot 的直接归因很困难，但二者间仍然有许多相似之处。DarkGate 紧接着 QakBot 出现 ，使用与 QakBot 相同的网络钓鱼策略，包括初始感染劫持的电子邮件 、限制用户访问独特模式的 URL 等。二者使用了几乎相同的感染链，都可以当作恶意软件加载程序 ，香港云服务器向失陷主机投递额外的恶意软件。

典型时间线

深入了解网络钓鱼攻击

从攻击者所使用的 TTP 来看，无疑是一种高级威胁  。在攻击行动的生命周期中，研究人员发现了几个不同的感染链，就像攻击者在测试投递不同的恶意软件  。最主要的感染链如下所示，也与 QakBot 的攻击活动一致 。云计算

主要感染链

该攻击行动以被劫持的电子邮件开始，诱使受害者点击 URL。该 URL 地址也增加了访问限制，只有满足攻击者设定要求（位置与特定浏览器）的用户
 ，才能正常获取到恶意 Payload。通过 URL 下载一个 ZIP 压缩文件  ，其中包含一个作为 Dropper 的 JavaScript 文件。通过它，可以访问另一个 URL 下载并运行恶意软件 。到此阶段 ，受害者已经被 DarkGate 或 PikaBot 感染。

DarkGate 与 PikaBot 都被认为是具有加载程序与反分析能力的源码库高级恶意软件。对 QakBot 附属机构等攻击者来说 ，最吸引人的是一旦成功入侵，就可以提供额外的恶意 Payload。在感染后 ，DarkGate 与 PikaBot 可能会投递挖矿木马 、勒索软件或者攻击者希望在失陷主机上安装的任何恶意软件。恶意软件家族如下所示 ：

DarkGate 在 2018 年闪亮登场  ，支持加密货币挖掘 、凭据窃取、勒索软件与远程访问 。各种功能都支持通过插件安装，高防服务器并提供了多种逃避检测与提权的方法。DarkGate 使用合法的 AutoIT 程序 ，通常会运行多个 AutoIT 脚本 。PikaBot 在 2023 年首次出现  ，由于能投递额外的恶意软件 Payload 也是加载程序 。PikaBot 支持多种检测规避技术，避免沙盒 、虚拟机以及其他调试技术 。独联体国家被排除在外，不会被该恶意软件感染
 。规避技术与反分析技术结合

攻击者将众所周知的检测规避技术与反分析技术相结合 ，免费模板因此攻击行动的开始就比一般的网络钓鱼要复杂的多。攻击者可以通过 Exchanger 服务器上的 ProxyLogon（CVE-2021-26855）漏洞 ，绕过身份验证并以管理员权限劫持电子邮件发送钓鱼邮件 。

收件人会认为发件人是可信的，如下所示为一个真实的钓鱼邮件示例。钓鱼邮件发送到收件箱的钓鱼邮件，其中包含恶意链接。

钓鱼邮件示例

电子邮件中的恶意链接如下所示 ，该 URL 中的模式与 QakBot 类似。攻击者为该 URL 设置了访问限制，控制对恶意文件的访问情况。例如，必须要在美国使用 Google Chrome 浏览器。

钓鱼 URL

实验性恶意软件投递

攻击活动中最常见的是 JavaScript 编写的 Dropper ，除此之外还有 Excel-DNA Loader、VBS Downloaders 与 LNK Downloaders。Excel-DNA Loader 最早在 2012 年才出现 ，是一种比较新的投递机制，结合使用 Microsoft Excel 加载项来下载与运行恶意 Payload 。

JavaScript Dropper：使用 Microsoft ECMAScript 编写的 Dropper ，具有高度的适应性与扩展性
。在大多数情况下  ，被攻击者用于下载、写入  、执行 PE 可执行文件或者 DLL 文件等恶意 Payload。Excel-DNA-Loader：创建 XLL 文件作为 Excel 文件加载项
，攻击者将其作为访问 Payload 的方式 
。这种投递方式于 2021 年被开发出来，很多恶意软件都利用其进行传播，如 Dridex 银行木马。VBS Downloader：利用 Visual Basic 运行时程序执行恶意软件的下载与执行 。使用 Office 文件或者命令行调用 Windows 可执行文件程序，如 cscript.exe 或 wscript.exe。LNK Downloader：攻击者滥用安全文件格式的可信性质 ，在下载和执行恶意软件 Payload 前入侵失陷主机 。攻击者重新调整了 LNK 文件的用途，使其可以在 Windows 环境中运行可执行脚本 。总结

攻击行动是先进的 、精心设计的 ，并且从出现开始就在不断进化。说明其背后的攻击者保持着非常强烈的技术领先意识 ，而且与 QakBot 有着非常强烈的相似性
。