【跨國行動】FBI搗破Qakbot殭屍網絡 解放70萬電腦
FBI 發表勝利宣言,指已聯同其他國家執法機關,成功搗破殭屍網絡 Qakbot 的基建設施,並透過控制中心解救了 70 萬受感染電腦。由於 Qakbot 會為其他犯罪組織如 Conti、RansomExx、BlackCat 等提供入侵服務,因此破壞力驚人,估計單在 2021 年 10 月至 2023 年 4 月期間,Qakbot 已從犯罪活動中獲得了約 5800 萬美元的收入!
Qakbot 已有 15 年歷史 最初為銀行木馬
Qakbot(又稱 Qbot 及 Pinkslipbot)最早出現於 2008 年,當時 Qakbot 的主要功能是銀行木馬,入侵目的是竊取銀行證書、網站 cookies 及信用卡等敏感訊息,以便進行金融詐騙。其後逐漸轉變入侵意圖,甚至為其他犯罪集團如勒索軟件組織提供入侵立足點等服務。
Qakbot 主要透過釣魚電郵散播,黑客會嘗試通過濫用電郵回覆鏈向目標人士發送惡意附件,由於目標人士與發信人已曾多次經電郵往來,因此傾向相信電郵內容可信,從而打開帶有惡意指令的 Word 或 Excel 文檔、OneNote 文件,或者打開可執行文件和 Windows ISO 檔案。當 Qakbot 完成安裝,它會自動注入合法的 Windows 進程,以逃避安全軟件的檢測,然後才開始竊取受害者的訊息,並利用其帳戶進行其他釣魚活動。
FBI 與世界各國聯手 滲透 Qakbot 基建設施
而在這次由 FBI 牽頭,代號為 Duck Hunt 的行動中,FBI 便與英國、法國及多地執法部門組成跨國聯合部隊。根據 FBI 公布,調查員成功控制 Qakbot 其中一個管理員的電腦設備及基建設施,從中取得組織大量機密資訊,包括組織與其他犯罪集團的對話、組織控制的加密貨幣錢包、受害企業名單、受感染電腦的資料,以及曾收取的贖金等。
調查員發現,Qakbot 使用了多層級控制中心去發布惡意指令、推送惡意軟件更新及其他黑客組織的惡意負載到受感染電腦上,最高層級的控制中心大都位處美國境內,而其他層級的服務器則通常來自其他國家。
當 FBI 成功滲透 Qakbot 的基建設施和管理員的設備後,調查員便獲得了用於與控制中心通訊的加密密鑰,從而有能力向受感染設備發送解毒器,並將其他 Qakbot 管理員帳戶刪除,無法妨礙 FBI 的解毒工作。官方指研究員創建了一個自定義的 Windows DLL 檔案,並通過控制中心推送到受感染設備上,成功停止 Qakbot 運作,據知一共有 70 萬部電腦獲救,可見 Qakbot 的感染及隱身能力非常強大。
不過,FBI 表示這次解毒行動只是停止了 Qakbot 運作,並沒有為受感染電腦剷除其他病毒,因此即使受害企業會接到通知,也不代表其電腦已變得乾淨,特別是由於設備曾被入侵,表示可能還會隱藏其他間諜軟件或勒索軟件,呼籲相關企業必須立即檢查電腦設備及提升防禦能力。
資料來源:https://www.bleepingcomputer.com/news/security/qakbot-botnet-dismantled-after-infecting-over-700-000-computers 及 https://www.bleepingcomputer.com/news/security/how-the-fbi-nuked-qakbot-malware-from-infected-windows-pcs