死灰复燃！QakBot 恶意软件仍在运行中

2025-11-26 18:44:44分类：网络安全阅读(185)

2023 年 8 月，死灰美国联邦调查局宣布，复燃在名为“猎鸭行动”的恶意国际执法活动中，成功拆除 Qakbot 僵尸网络（Qakbot 也称 QBot、软件仍运QuackBot 和 Pinkslipbot
，行中自 2008 年以来一直非常活跃）。死灰然而 Security A ffairs 网站近日披露 
，复燃QakBot 恶意软件背后运营商仍然在活跃 ，恶意他们发动一场网络钓鱼活动，软件仍运主要提供勒索软件和 Remcos RAT。行中

据悉，死灰 "猎鸭行动"由美国、复燃法国、源码下载恶意德国 、软件仍运荷兰、行中罗马尼亚、拉脱维亚和英国等国执法机构一同参与
。

QakBot生命力强劲
，死灰复燃

"猎鸭行动"并没有完全解决 Qakbot 恶意软件   ，Cisco Talos 研究人员发现其背后运营商仍然很活跃。据研究人员透露，Qakbot 恶意软件背后运营商自 2023 年 8 月初以来一直在开展活动，旨在传播 Ransom Knight 勒索软件和 Remcos RAT 。

值得一提的是
，高防服务器该网络攻击活动在联邦调查局于 8 月底关闭 Qakbot 基础设施之前就已经开始了，目前仍在进行中。网络安全专家通过将此次攻击中使用的 LNK 文件中的元数据与此前 Qakbot 活动中的机器联系起来，追踪到了新网络攻击活动。Talos 表示这一活动可能与 Qakbot 附属组织有关，并推测背后运营商仍在运营。

网络安全专家推测联邦调查局发起的联合执法行动可能没有影响 Qakbot 垃圾邮件发送基础设施 ，其影响仅限于 C2 基础设施的一部分。建站模板

Talos 在发布的分析报告中表示，Talos 于 2023 年 8 月确定了在上述同一台机器上创建的新 LNK 文件，但观察到文件的有效载荷在命令行中指向一个网络共享，该网络共享提供了 Ransom Knight 勒索软件的一个变种 。

Talos 还观察到一些文件名是用意大利语书写的 ，这表明该活动的目标是亿华云意大利用户，这些信息使用 Zip 压缩包 ，其中包含 LNK 文件和一个 XLL 文件（XLL 是 Excel 加载项的扩展名） ，XLL 文件是攻击者和Ransom Knight 在感染后用来访问机器的 Remcos 后门。

Talos 在分析报告中声称其内部研究人员并不认为 Qakbot 威胁攻击者是赎金软件即服务幕后黑手
，他们只是该服务的客户 。免费模板上述提到的新网络攻击活动从 2023 年 8 月初就开始了 ，并且在被攻破后也没有停止，因此认为 FBI 的行动并没有影响 Qakbot 的钓鱼电子邮件发送基础设施，而只是影响了其指挥和控制服务器 。

此外，分析报告中还指出虽然安全研究人员还没有观察到威胁攻击者在 Qakbot 基础设施被拆除后分发恶意软件，但鉴于其运营商仍然活跃，可能还会选择重建 Qakbot 基础设施
，以完全恢复拆除前的云计算状态
。