Qakbot感染与黑巴斯塔勒索软件运动有关

最新推荐文章于 2025-11-28 18:52:35 发布
翻译 最新推荐文章于 2025-11-28 18:52:35 发布 · 249 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://www.infosecurity-magazine.com/news/qakbot-linked-to-black-basta/
文章标签:

#网络

Cybereason的报告显示,BlackBasta勒索软件团伙利用QakBot恶意软件作为初始感染手段,迅速在目标网络中横移。威胁者利用QakBot窃取财务数据并安装后门,随后在短时间内部署勒索软件。此活动影响了多家美国公司,强调了对钓鱼攻击和恶意软件防御的紧迫性。

据报道,Black Basta勒索软件团伙已被发现使用QakBot恶意软件创建第一个入口,并在组织的网络内横向移动。

Cybereason Global SOC (GSOC)团队昨天发布的一份新报告描述了这些发现,强调了从2022年11月14日开始使用QakBot的几例黑Basta感染。

安全专家写道:“QakBot,也被称为QBot或Pinkslipbot,是一种银行木马,主要用于窃取受害者的财务数据,包括浏览器信息、键盘输入和证书。一旦QakBot成功感染了一个环境,恶意软件就会安装一个后门,允许威胁者投放其他恶意软件,即勒索软件。”

根据该通知,在新的攻击中,威胁行为者在不到两小时内获得了域管理员访问权限,然后在不到12小时内转移到勒索软件部署。

该报告写道:“威胁分子利用QBot加载器撒下了一张大网,主要针对美国公司,并对他们所危及的鱼叉式网络钓鱼受害者迅速采取行动。在过去的两周里,我们发现有十多个不同的客户受到了最近这场活动的影响。”

在Cybereason发现的几起QakBot感染中,据称有两起允许威胁行为者部署勒索软件,并通过禁用DNS服务将受害者锁定在其网络之外,使恢复变得更加复杂。

安全团队写道:“我们观察到的一个特别快速的妥协导致了Black Basta勒索软件的部署。这使我们能够在利用QakBot和Black Basta运营商的威胁行为者之间建立联系。”

Cybereason观察到的QakBot感染始于一封含有恶意URL链接的垃圾邮件或钓鱼邮件,而QakBot是Black Basta用来在受害者网络中保持存在的主要方法。

该公司写道:“也就是说,我们还观察到威胁行为者在妥协过程中使用Cobalt Strike获得对域控制器的远程访问。最后,部署了勒索软件,然后攻击者禁用了安全机制,如[端点检测和响应]EDR和防病毒程序。”

Black Basta勒索软件组织最近还与FIN7的威胁行为者和对关键基础设施的持续攻击联系在一起。

卡饭科技
关注
[渝粤教育] 西南科技大学 国际贸易理论实务 在线考试复习资料2021版(1)
渝粤题库
12-14 1788
国际贸易理论实务——在线考试复习资料2021版 一、单选题 1.根据货币数量理论,国内货币供给增加50%将导致(    )  A.国内价格水平提高50% B.国内价格水平提高幅度大于50% C.国内价格水平降低50% D.国内价格水平降低幅度大于50% 答案:看左边查询 2.浮动汇率制的特点之一是(     )  A.不需要货币政策干预货币市场 B.不容易产生导致不稳定的投机活动 C.具有隔离国外
Qakbot恶意软件利用OneNote进行传播
dzqxwzoe的博客
08-24 274
Qakbot是一种自2007年以来一直活跃的复杂恶意软件,具有自我复制和传播的蠕虫特性。其主要攻击目标为银行业和金融机构,旨在窃取受感染系统中的敏感信息和凭证。Qakbot通过多种手段获取访问权限,包括社会工程和漏洞利用。该恶意软件还具备高度定制化的C&C通信,可用于获取其他恶意软件模块和执行数据外泄等功能。Qakbot的特点在于其高度隐蔽性和逃避技术,例如反沙箱和反虚拟机检测等。它主要通过钓鱼电子邮件和恶意附件进行传播,但最近通过利用OneNote文档进行传播的情况数量有所增加。
QakBot银行恶意软件导致大量 Active Directory 被锁定
weixin_33975951的博客
09-18 262
本文讲的是QakBot银行恶意软件导致大量 Active Directory 被锁定,近日,IBM公司的恶意软件研究人员注意到,成百上千个Active Directory用户被锁定在其公司的域名之外,而此次事件正是由Qbot银行恶意软件所造成的。 关于Active Directory 活动目录(Active Directory)是面向 Windows ...
Black Basta 勒索软件利用 QakBot 进行分发
ALLEN'Blog
03-27 322
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
全面解析Qakbot***
weixin_34062329的博客
10-31 421
来源:赛迪网  虽然Qakbot这个名字听起来很可笑,但当听说这个***是针对企业和公司帐户时——就没有人再笑了。Qakbot***以其主要的可执行文件_qakbot.dll命名,它并不是一种新的***;但RSA FraudAction研究实验室在Qakbot中发现了一些以前很少在其他金融犯罪软件中出现的独特属性。   对Qakbot的最新研究表明,它的触发列表几乎...
依托电子邮件传播的银行木马QakBot
互联网安全研究院
09-16 475
近年来,QakBot已成为全球流行的银行木马之一。它的主要目的是窃取银行凭证(如登录名、密码等)。时至今日,QakBot仍在不断更新和发展,不断增加新的功能并更新其模块,以窃取信息并使收入最大化。 QakBot恶意软件入侵后,会监视金融业务、自我传播和安装勒索软件等,以便从受感染的企业机构中获得最大收益。并且,我国是该木马的主要攻击国,主要针对政府、金融、企业、医疗等关键行业。 QakBot传播方式 QakBot主要通过垃圾邮件传播和感染受害者的,其电子邮件附件包含Microsoft Office文档
青河县塔格尔巴斯塔乌拜城锂铍矿的地质特征找矿远景毕业论文.doc
09-16
青河县塔格尔巴斯塔乌-拜城锂铍矿的地质特征找矿远景的研究具有重要的理论和实际意义。该矿位于阿尔泰成矿带,这个地带是我国稀有金属、有色金属及贵金属的主要产地之一,拥有丰富的矿产资源潜力。青河县的塔格尔...
探索阿拉巴斯塔项目的核心内容技术
根据描述中的“原始阿拉巴斯塔”,我们可以推测这个项目可能“阿拉巴斯塔”(Alabaster)这个词汇有关。在不同的语境中,“阿拉巴斯塔”可以指代一种白色的石头,或者在某些文化作品中是一个地名或人名。因此,这...
深入理解C#编程最佳实践SOLID原则
资源摘要信息:"ReCapProject2" ...项目的内容和目的虽然在给定信息中不完全明确,但可以推测它软件开发相关,特别是可能涉及到汽车租赁服务(DevRentACar)和代码质量改进(通过清除代码气味)。
赵素芬教授详解Web程序设计:B/S模式核心技术
教材方面,学生们将主要参考塞巴斯塔著的《Web程序设计》(第8版)以及《PHP和MySQL Web开发》、《CSS+DIV网页样式布局从入门到精通》和《JavaScript入门经典》等书籍。教学过程中,学生们可以利用网络资源如W3...
Qakbot新型感染链:使用Windows7系统侧加载感染设备
AIwenIPgeolocation的博客
07-26 533
DLL侧加载(DLL side-loading)是一种常见的攻击方法,也就是我们常说的“白加”技术,它利用了Windows中处理动态链接库(DLL)的方式。Qakbot恶意软件的开发者通过使用Windows7系统在被感染的计算机上侧加载恶意负载,最终达到感染设备的效果。...
鼻祖Qbot银行木马攻击金融机构 导致AD活动目录用户账户大量锁定 能对抗杀软和分析...
weixin_33743248的博客
09-01 951
ibm 安全研究人员警告称,最近恶意软件引发的活动目录 (ad) 锁定影响了许多组织, 这似乎是 Qbot 银行恶意软件造成的。成百上千的 ad 用户在快速连续的情况下被锁在公司的域之外, 从而阻止受影响的组织的员工访问他们的端点、公司服务器和网络资产。 Qbot在2009年首次发现,由于长时间的不活动, Qbot 继续被放在最活跃的恶意软件家族的...
Qakbot 开始利用 OneNote 文件进行分发
dzqxwzoe的博客
08-23 198
OneNote 文件原本很少被滥用,但最近攻击者开始青睐该类文件。最初只是一些小规模的恶意软件攻击,后来 Qakbot 也加入进来。示例OneNote 文件此前的 Qakbot 经常使用电子邮件作为最初的攻击向量,对各种恶意邮件技巧都十分熟稔。
如何使用ntopng来检测Qakbot木马
虹科网络安全的博客
04-08 511
文章目录故事的开始开始分析结论关注我们 故事的开始 我现在使用ntopng进行网络监视已经有一段时间了,我很想知道,当检测到恶意软件时,ntopng会发出什么警报。 网站恶意软件流量分析是捕获网络流量中恶意软件的重要来源。我决定以一个Qakbot感染的spambot活动为例。首先需要了解如下内容 Qakbot:一个活跃的银行木马 Cobalt Strike:一款商业渗透测试工具,不幸的是,Cobalt Strike的盗版已经被泄露。 Spambot活动,分发QakBot 默认情况下,ntopng是监控实时
Python连接SQL SEVER数据库全流程
最新发布
2509_94093957的博客
11-28 234
在数据分析领域,经常需要从数据库中获取数据进行分析和处理。而SQL Server是一种常用的关系型数据库管理系统,因此学习如何使用Python连接SQL Server数据库并获取数据是非常有用的。以下是Python使用pymssql连接SQL Server安装pymssql库本地账号设置脚本连接数据导入函数实现。
网闸的作用功能:2025新型网闸全面介绍!
2501_93735104的博客
11-28 749
网闸的作用功能,简单来说,就是安全隔离+数据交换,今天我们要重点说的一种新型网闸产品,是传统网闸+文件摆渡系统的结合体,以《Ftrans网络安全隔离信息交换系统》为典型代表,不仅包含网闸隔离、协议玻璃、数据交换等功能,还支持面向用户的跨网文件传输,有效防止敏感信息泄露,提供多种传输方式、支持多种使用场景、增强数据安全性和合规性,降低运营成本。:提供全链路API集成管控能力。可控数据交换:隔离的同时,专门开一条唯一的、能管控的安全通道,解决 “完全断开就没法干活” 的问题,保证必要数据能安全交换。
测试 Securing Kamailio’s JSON-RPC over HTTP
fs交流的博客
11-27 413
kamailio # 启动 kamailio。
自定义协议设计实践:从协议必要性到JSON流式处理
祯的博客
11-28 1058
本文探讨了自定义网络协议的必要性及其实现方法。首先分析了通用协议(如HTTP)的局限性:性能开销大、功能冗余、通信模式不匹配等问题。其次阐述了自定义协议的优势:极致性能、高度定制化、低资源消耗和增强安全性。文章详细介绍了自定义协议的应用场景(物联网、游戏、区块链等)和开发代价(高维护成本、调试困难等)。重点讲解了基于TCP的流式数据处理方法,提出"长度头+消息体"的解决方案,并给出基于jsoncpp的实现示例。
前端跨域解决方案
2509_93942660的博客
11-28 501
如果涉及带凭证的请求,比如cookie,还得加Access-Control-Allow-Credentials: true,并且Origin不能是通配符。原理很简单,前端请求发给同域的代理,代理再转发给目标服务器,绕过浏览器限制。比如,你页面里嵌了个第三方iframe,想和它通信,就可以用window.postMessage发消息,对方用message事件接收。JSONP适合老项目,CORS是首选标准,代理在开发时好用,WebSocket专攻实时,postMessage处理iframe问题。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值