创意QakBot攻击战术挑战安全防御

根据最新的HP Wolf Threat Insights报告，QukBot是2023年第二季度最活跃的恶意软件家族之一。

该公司的一份分析报告指出，网络犯罪分子正在使用多种攻击方法来绕过安全政策和检测工具，其中一个例子是使用构建博客式攻击来实施这些活动。

该公司在一份声明中指出，通常情况下，攻击链是公式化的，具有通往有效载荷的常用路径。

然而，在富有创意的QakBot活动中，威胁行为者将不同的区块连接在一起，形成独特的感染链。据该公司称，通过切换不同的文件类型和技术，他们能够绕过检测工具和安全策略。HP在第二季度分析的QakBot感染链中有32%是独特的。

基于此，HP Wolf建议网络防御者检查他们的电子邮件和端点防御是否做好了准备，以抵御QakBot垃圾邮件的多种排列。

HP Wolf个人系统全球安全主管伊恩普拉特博士评论说:“虽然感染链可能不同，但启动方法是一样的，它不可避免地归结为用户点击某些东西。组织不应该试图猜测感染链，而应该隔离和控制风险活动，如打开电子邮件附件、点击链接和浏览器下载。”

报告还发现，最近的Aggah活动背后的攻击者在流行的博客平台Blogspot中托管了恶意代码。

通过将代码隐藏在合法源中，防御者很难判断用户是在阅读博客还是发起攻击。根据HP Wolf的说法，威胁行为者会利用他们对Windows系统的了解来禁用用户机器上的一些反恶意软件功能，执行XWorm或AgentTesla远程访问木马(RAT)，并窃取敏感信息。

该公司还发现了其他使用DNS TXT记录查询(通常用于访问域名的简单信息)来传递AgentTesla RAT的Aggah攻击。威胁参与者知道DNS协议通常不受安全团队的监视或保护，因此这种攻击非常难以检测到。

最后，该公司强调，它已经发现了最近的一次活动，该活动使用多种编程语言来逃避检测。

HP Wolf的分析基于从2023年4月至6月在HP Wolf Security客户虚拟机中匿名收集的数据。