根據(jù)最新的HP Wolf Threat Insights報(bào)告，QukBot是2023年第二季度最活躍的惡意軟件家族之一。

該公司的一份分析報(bào)告指出，網(wǎng)絡(luò)犯罪分子正在使用多種攻擊方法來(lái)繞過(guò)安全政策和檢測(cè)工具，其中一個(gè)例子是使用構(gòu)建博客式攻擊來(lái)實(shí)施這些活動(dòng)。

該公司在一份聲明中指出，通常情況下，攻擊鏈?zhǔn)枪交?，具有通往有效載荷的常用路徑。

然而，在富有創(chuàng)意的QakBot活動(dòng)中，威脅行為者將不同的區(qū)塊連接在一起，形成獨(dú)特的感染鏈。據(jù)該公司稱，通過(guò)切換不同的文件類型和技術(shù)，他們能夠繞過(guò)檢測(cè)工具和安全策略。HP在第二季度分析的QakBot感染鏈中有32%是獨(dú)特的。

基于此，HP Wolf建議網(wǎng)絡(luò)防御者檢查他們的電子郵件和端點(diǎn)防御是否做好了準(zhǔn)備，以抵御QakBot垃圾郵件的多種排列。

HP Wolf個(gè)人系統(tǒng)全球安全主管伊恩普拉特博士評(píng)論說(shuō):“雖然感染鏈可能不同，但啟動(dòng)方法是一樣的，它不可避免地歸結(jié)為用戶點(diǎn)擊某些東西。組織不應(yīng)該試圖猜測(cè)感染鏈，而應(yīng)該隔離和控制風(fēng)險(xiǎn)活動(dòng)，如打開電子郵件附件、點(diǎn)擊鏈接和瀏覽器下載?！?/p>

報(bào)告還發(fā)現(xiàn)，最近的Aggah活動(dòng)背后的攻擊者在流行的博客平臺(tái)Blogspot中托管了惡意代碼。

通過(guò)將代碼隱藏在合法源中，防御者很難判斷用戶是在閱讀博客還是發(fā)起攻擊。根據(jù)HP Wolf的說(shuō)法，威脅行為者會(huì)利用他們對(duì)Windows系統(tǒng)的了解來(lái)禁用用戶機(jī)器上的一些反惡意軟件功能，執(zhí)行XWorm或AgentTesla遠(yuǎn)程訪問(wèn)木馬(RAT)，并竊取敏感信息。

該公司還發(fā)現(xiàn)了其他使用DNS TXT記錄查詢(通常用于訪問(wèn)域名的簡(jiǎn)單信息)來(lái)傳遞AgentTesla RAT的Aggah攻擊。威脅參與者知道DNS協(xié)議通常不受安全團(tuán)隊(duì)的監(jiān)視或保護(hù)，因此這種攻擊非常難以檢測(cè)到。

最后，該公司強(qiáng)調(diào)，它已經(jīng)發(fā)現(xiàn)了最近的一次活動(dòng)，該活動(dòng)使用多種編程語(yǔ)言來(lái)逃避檢測(cè)。

HP Wolf的分析基于從2023年4月至6月在HP Wolf Security客戶虛擬機(jī)中匿名收集的數(shù)據(jù)。