今年 9 月开始传播的 DarkGate 恶意软件已经发展成为世界上最先进的网络钓鱼攻击行动之一。从那时起,DarkGate 就不断完善检测规避策略与各种反分析技术。DarkGate 与 PikaBot 在 QakBot 销声匿迹一个月后激增,并且与 QakBot 的 TTP 相似。攻击者向各行各业传播了大量电子邮件,由于投递了恶意软件加载程序,受害者可能面临更复杂的威胁,如勒索软件等。
今年 8 月,美国联邦调查局和司法部宣布司法机构已经捣毁了 QakBot 的攻击基础设施。从那时起,QakBot 就陷入沉寂,攻击基础设施不再有什么变化。虽然 QakBot 的攻击者与 DarkGate 与 PikaBot 的直接归因很困难,但二者间仍然有许多相似之处。DarkGate 紧接着 QakBot 出现,使用与 QakBot 相同的网络钓鱼策略,包括初始感染劫持的电子邮件、限制用户访问独特模式的 URL 等。二者使用了几乎相同的感染链,都可以当作恶意软件加载程序,向失陷主机投递额外的恶意软件。
【典型时间线】
深入了解网络钓鱼攻击
【主要感染链】
该攻击行动以被劫持的电子邮件开始,诱使受害者点击 URL。该 URL 地址也增加了访问限制,只有满足攻击者设定要求(位置与特定浏览器)的用户,才能正常获取到恶意 Payload。通过 URL 下载一个 ZIP 压缩文件,其中包含一个作为 Dropper 的 JavaScript 文件。通过它,可以访问另一个 URL 下载并运行恶意软件。到此阶段,受害者已经被 DarkGate 或 PikaBot 感染。
DarkGate 与 PikaBot 都被认为是具有加载程序与反分析能力的高级恶意软件。对 QakBot 附属机构等攻击者来说,最吸引人的是一旦成功入侵,就可以提供额外的恶意 Payload。在感染后,DarkGate 与 PikaBot 可能会投递挖矿木马、勒索软件或者攻击者希望在失陷主机上安装的任何恶意软件。恶意软件家族如下所示:
规避技术与反分析技术结合
收件人会认为发件人是可信的,如下所示为一个真实的钓鱼邮件示例。钓鱼邮件发送到收件箱的钓鱼邮件,其中包含恶意链接。
【钓鱼邮件示例】
电子邮件中的恶意链接如下所示,该 URL 中的模式与 QakBot 类似。攻击者为该 URL 设置了访问限制,控制对恶意文件的访问情况。例如,必须要在美国使用 Google Chrome 浏览器。
【钓鱼 URL】
实验性恶意软件投递
总结
攻击行动是先进的、精心设计的,并且从出现开始就在不断进化。说明其背后的攻击者保持着非常强烈的技术领先意识,而且与 QakBot 有着非常强烈的相似性。