QakBot 被摧毁后，DarkGate 与 PikaBot 接棒传播恶意软件

今年 9 月开始传播的被摧棒传播恶 DarkGate 恶意软件已经发展成为世界上最先进的网络钓鱼攻击行动之一。从那时起，毁后DarkGate 就不断完善检测规避策略与各种反分析技术 。接件DarkGate 与 PikaBot 在 QakBot 销声匿迹一个月后激增，意软并且与 QakBot 的被摧棒传播恶 TTP 相似。攻击者向各行各业传播了大量电子邮件 ，毁后由于投递了恶意软件加载程序 ，接件受害者可能面临更复杂的意软威胁，如勒索软件等。被摧棒传播恶

今年 8 月，毁后美国联邦调查局和司法部宣布司法机构已经捣毁了 QakBot 的接件攻击基础设施。从那时起 ，云计算意软QakBot 就陷入沉寂，被摧棒传播恶攻击基础设施不再有什么变化。毁后虽然 QakBot 的接件攻击者与 DarkGate 与 PikaBot 的直接归因很困难
，但二者间仍然有许多相似之处。DarkGate 紧接着 QakBot 出现，使用与 QakBot 相同的网络钓鱼策略 ，包括初始感染劫持的电子邮件、限制用户访问独特模式的 URL 等 。二者使用了几乎相同的感染链，都可以当作恶意软件加载程序，源码库向失陷主机投递额外的恶意软件 。

典型时间线

深入了解网络钓鱼攻击

从攻击者所使用的 TTP 来看，无疑是一种高级威胁。在攻击行动的生命周期中 ，研究人员发现了几个不同的感染链，就像攻击者在测试投递不同的恶意软件。最主要的感染链如下所示
，也与 QakBot 的攻击活动一致 。免费模板

主要感染链

该攻击行动以被劫持的电子邮件开始，诱使受害者点击 URL。该 URL 地址也增加了访问限制 ，只有满足攻击者设定要求（位置与特定浏览器）的用户，才能正常获取到恶意 Payload 。通过 URL 下载一个 ZIP 压缩文件，其中包含一个作为 Dropper 的 JavaScript 文件 。通过它，可以访问另一个 URL 下载并运行恶意软件  。到此阶段，受害者已经被 DarkGate 或 PikaBot 感染  。

DarkGate 与 PikaBot 都被认为是具有加载程序与反分析能力的服务器租用高级恶意软件 。对 QakBot 附属机构等攻击者来说，最吸引人的是一旦成功入侵，就可以提供额外的恶意 Payload 。在感染后，DarkGate 与 PikaBot 可能会投递挖矿木马 、勒索软件或者攻击者希望在失陷主机上安装的任何恶意软件。恶意软件家族如下所示
：

DarkGate 在 2018 年闪亮登场，支持加密货币挖掘、凭据窃取、勒索软件与远程访问 。各种功能都支持通过插件安装，源码下载并提供了多种逃避检测与提权的方法。DarkGate 使用合法的 AutoIT 程序
，通常会运行多个 AutoIT 脚本。PikaBot 在 2023 年首次出现，由于能投递额外的恶意软件 Payload 也是加载程序。PikaBot 支持多种检测规避技术 ，避免沙盒、虚拟机以及其他调试技术 。独联体国家被排除在外，不会被该恶意软件感染。规避技术与反分析技术结合

攻击者将众所周知的检测规避技术与反分析技术相结合 ，模板下载因此攻击行动的开始就比一般的网络钓鱼要复杂的多。攻击者可以通过 Exchanger 服务器上的 ProxyLogon（CVE-2021-26855）漏洞，绕过身份验证并以管理员权限劫持电子邮件发送钓鱼邮件
。

收件人会认为发件人是可信的，如下所示为一个真实的钓鱼邮件示例。钓鱼邮件发送到收件箱的钓鱼邮件，其中包含恶意链接。

钓鱼邮件示例

电子邮件中的恶意链接如下所示，该 URL 中的模式与 QakBot 类似。攻击者为该 URL 设置了访问限制，控制对恶意文件的访问情况
。例如，必须要在美国使用 Google Chrome 浏览器 。

钓鱼 URL

实验性恶意软件投递

攻击活动中最常见的是 JavaScript 编写的 Dropper ，除此之外还有 Excel-DNA Loader、VBS Downloaders 与 LNK Downloaders 。Excel-DNA Loader 最早在 2012 年才出现，是一种比较新的投递机制，结合使用 Microsoft Excel 加载项来下载与运行恶意 Payload。

JavaScript Dropper ：使用 Microsoft ECMAScript 编写的 Dropper，具有高度的适应性与扩展性 。在大多数情况下，被攻击者用于下载 、写入
、执行 PE 可执行文件或者 DLL 文件等恶意 Payload。Excel-DNA-Loader ：创建 XLL 文件作为 Excel 文件加载项，攻击者将其作为访问 Payload 的方式。这种投递方式于 2021 年被开发出来，很多恶意软件都利用其进行传播 ，如 Dridex 银行木马 。VBS Downloader ：利用 Visual Basic 运行时程序执行恶意软件的下载与执行。使用 Office 文件或者命令行调用 Windows 可执行文件程序，如 cscript.exe 或 wscript.exe
。LNK Downloader：攻击者滥用安全文件格式的可信性质 ，在下载和执行恶意软件 Payload 前入侵失陷主机 。攻击者重新调整了 LNK 文件的用途 ，使其可以在 Windows 环境中运行可执行脚本。总结

攻击行动是先进的、精心设计的，并且从出现开始就在不断进化。说明其背后的攻击者保持着非常强烈的技术领先意识，而且与 QakBot 有着非常强烈的相似性。