QakBot恶意软件及黑巴斯特勒索病毒的攻击警报

关键要点

• QakBot恶意软件正被黑巴斯特勒索团伙积极利用，主要目标是美国公司。
• 攻击通常始于网络钓鱼邮件，之后导致恶意网址感染。
• 攻击者在短时间内获取域管理员权限，迅速部署勒索病毒。
• Cybereason已发布了与此攻击相关的风险指标和防范建议。

Cybereason的研究人员警告说，一个特别激进的攻击活动正在使用QakBot恶意软件入侵，通常会导致黑巴斯特勒索病毒的部署。

研究人员观察到，从11月14号开始，超过10个客户环境已经被QakBot恶意软件感染，该团伙主要针对位于美国的公司。感染的起点是通过发送网络钓鱼邮件，链接到恶意网址。

该犯罪团伙自【4月】(https://www.scworld.com/brief/ransomware/black-basta-ransomware-
gang-poses-significant-
threat)以来活跃，已对美国、【加拿大】(https://www.scworld.com/brief/ransomware/black-basta-
ransomware-hits-canadian-supermarket-chain)、英国、澳大利亚和新西兰的公司展开攻击，主要采用双重勒索策略。

根据研究人员的说法，QakBot不仅用于窃取财务数据，还会安装后门，允许攻击者投放额外的恶意软件，包括勒索病毒。

在他们的帖子中，Cybereason研究人员详细描述了一个攻击场景，该场景从QakBot感染开始，导致CobaltStrike在多个机器上加载，随后部署勒索病毒。研究人员还观察到一名受害者的网络被锁定，攻击者通过禁用DNS服务使恢复变得更加困难。

他们指出，攻击者在不到两个小时内获取了域管理员权限，并在不到12小时内开始部署勒索病毒。

“鉴于所有这些观察结果，我们建议安全和检测团队关注此攻击活动，因为它可能迅速导致严重的IT基础设施损坏。”

Cybereason还提供了与此次攻击相关的妥协指标（IoCs），包括需要封锁的IP地址列表以及对其客户的建议，详见【该博客帖子】(https://www.cybereason.com/blog/threat-
alert-aggressive-qakbot-campaign-and-the-black-basta-ransomware-group-
targeting-u.s.-companies)。