Microsoft详细介绍了广泛活动的Qakbot银行特洛伊木马的构建块

与多用途Qakbot恶意软件相关的感染链已被分解为“不同的构建块”，微软表示，这一努力将有助于以有效的方式主动检测和阻止威胁。

微软365防御者威胁情报团队卡布特一种“可定制的变色龙，能够适应利用它的多个威胁参与者群体的需要。”

Qakbot被认为是一个有经济动机的网络犯罪威胁组织Gold Lagon的创始者。这是一种普遍存在的信息窃取恶意软件，近年来，它已成为许多关键且广泛的勒索软件攻击的前兆，提供了一种恶意软件安装即服务，支持许多活动。

最早发现于2007年的模块化恶意软件—；像三角帆—；已从最初的银行特洛伊木马演变为瑞士军刀，能够进行数据过滤，并充当第二阶段有效载荷（包括勒索软件）的传递机制。同样值得注意的是，它的策略是通过电子邮件收集器组件从Outlook客户端劫持受害者的合法电子邮件线程，并将这些线程用作钓鱼诱饵，感染其他机器。

Trend Micro研究人员伊恩·肯尼菲克（Ian Kenefick）和弗拉基米尔·克罗波托夫（Vladimir Kropotov）在上一篇文章中详细介绍说：“泄露IMAP服务和电子邮件服务提供商（ESP），或劫持电子邮件线程，使攻击者能够利用潜在受害者对他们之前通信过的人的信任，还可以冒充泄露的组织。”月“事实上，预期目标将更有可能打开来自公认发件人的电子邮件。”

由网络安全公司追踪的QAKBOT活动在2021年3月25日至2021年10月25日的七个月期间显示，美国、日本、德国、印度、台湾、意大利、韩国、土耳其、西班牙和法国是最具攻击性的国家，入侵主要是打击电信、技术和教育部门。

最近，垃圾邮件活动导致部署了一个名为SquirreWaffle的新加载程序，使攻击者能够在企业网络中获得初始立足点，并在受感染的系统上丢弃恶意有效负载，如Qakbot和Cobalt Strike。

现在据微软称，涉及Qakbot的攻击链由几个积木组成，这些积木描绘了妥协的各个阶段，从分发恶意软件所采用的方法开始—；链接、附件或嵌入的图像—；在进行一系列攻击后活动之前，例如凭证盗窃、电子邮件过滤、横向移动，以及部署钴打击信标和勒索软件。

这家总部位于雷德蒙德的公司指出，攻击者发送的Qakbot相关电子邮件有时可能附带一个ZIP存档文件附件，其中包括一个包含Excel 4.0宏的电子表格，这是一种初始访问向量，在网络钓鱼攻击中被广泛滥用。无论采用何种机制来交付恶意软件，这些活动都有使用恶意Excel 4.0宏的共同点。

在Microsoft Office中，默认情况下会关闭宏，但会提示电子邮件收件人启用宏以查看文档的实际内容。这会触发攻击的下一阶段，从一个或多个攻击者控制的域下载恶意有效载荷。

通常情况下，Qakbot只是更大规模攻击的第一步，威胁参与者利用恶意软件提供的初始立足点安装额外的有效载荷，或将访问权出售给地下论坛上出价最高的人，然后这些人可以利用它来达到自己的目的。2021年6月，企业安全公司DeQuoPooPoT揭示了勒索软件演员越来越多地从使用电子邮件信息转移到侵入已经侵入主要实体的网络犯罪企业的购买途径。

研究人员说：“Qakbot的模块化和灵活性可能会对安全分析人员和防御者构成挑战，因为在每个受影响的设备上，同时进行的Qakbot活动可能会明显不同，从而显著影响这些防御者对此类攻击的反应。”。“因此，深入了解卡布特对于制定全面、协调的防御战略至关重要。”