今年 9 月開始傳播的 DarkGate 惡意軟件已經(jīng)發(fā)展成為世界上最先進(jìn)的網(wǎng)絡(luò)釣魚攻擊行動(dòng)之一。從那時(shí)起，DarkGate 就不斷完善檢測(cè)規(guī)避策略與各種反分析技術(shù)。DarkGate 與 PikaBot 在 QakBot 銷聲匿跡一個(gè)月后激增，并且與 QakBot 的 TTP 相似。攻擊者向各行各業(yè)傳播了大量電子郵件，由于投遞了惡意軟件加載程序，受害者可能面臨更復(fù)雜的威脅，如勒索軟件等。

今年 8 月，美國聯(lián)邦調(diào)查局和司法部宣布司法機(jī)構(gòu)已經(jīng)搗毀了 QakBot 的攻擊基礎(chǔ)設(shè)施。從那時(shí)起，QakBot 就陷入沉寂，攻擊基礎(chǔ)設(shè)施不再有什么變化。雖然 QakBot 的攻擊者與 DarkGate 與 PikaBot 的直接歸因很困難，但二者間仍然有許多相似之處。DarkGate 緊接著 QakBot 出現(xiàn)，使用與 QakBot 相同的網(wǎng)絡(luò)釣魚策略，包括初始感染劫持的電子郵件、限制用戶訪問獨(dú)特模式的 URL 等。二者使用了幾乎相同的感染鏈，都可以當(dāng)作惡意軟件加載程序，向失陷主機(jī)投遞額外的惡意軟件。

典型時(shí)間線

深入了解網(wǎng)絡(luò)釣魚攻擊

從攻擊者所使用的 TTP 來看，無疑是一種高級(jí)威脅。在攻擊行動(dòng)的生命周期中，研究人員發(fā)現(xiàn)了幾個(gè)不同的感染鏈，就像攻擊者在測(cè)試投遞不同的惡意軟件。最主要的感染鏈如下所示，也與 QakBot 的攻擊活動(dòng)一致。

主要感染鏈

該攻擊行動(dòng)以被劫持的電子郵件開始，誘使受害者點(diǎn)擊 URL。該 URL 地址也增加了訪問限制，只有滿足攻擊者設(shè)定要求（位置與特定瀏覽器）的用戶，才能正常獲取到惡意 Payload。通過 URL 下載一個(gè) ZIP 壓縮文件，其中包含一個(gè)作為 Dropper 的 JavaScript 文件。通過它，可以訪問另一個(gè) URL 下載并運(yùn)行惡意軟件。到此階段，受害者已經(jīng)被 DarkGate 或 PikaBot 感染。

DarkGate 與 PikaBot 都被認(rèn)為是具有加載程序與反分析能力的高級(jí)惡意軟件。對(duì) QakBot 附屬機(jī)構(gòu)等攻擊者來說，最吸引人的是一旦成功入侵，就可以提供額外的惡意 Payload。在感染后，DarkGate 與 PikaBot 可能會(huì)投遞挖礦木馬、勒索軟件或者攻擊者希望在失陷主機(jī)上安裝的任何惡意軟件。惡意軟件家族如下所示：

• DarkGate 在 2018 年閃亮登場(chǎng)，支持加密貨幣挖掘、憑據(jù)竊取、勒索軟件與遠(yuǎn)程訪問。各種功能都支持通過插件安裝，并提供了多種逃避檢測(cè)與提權(quán)的方法。DarkGate 使用合法的 AutoIT 程序，通常會(huì)運(yùn)行多個(gè) AutoIT 腳本。
• PikaBot 在 2023 年首次出現(xiàn)，由于能投遞額外的惡意軟件 Payload 也是加載程序。PikaBot 支持多種檢測(cè)規(guī)避技術(shù)，避免沙盒、虛擬機(jī)以及其他調(diào)試技術(shù)。獨(dú)聯(lián)體國家被排除在外，不會(huì)被該惡意軟件感染。

規(guī)避技術(shù)與反分析技術(shù)結(jié)合

攻擊者將眾所周知的檢測(cè)規(guī)避技術(shù)與反分析技術(shù)相結(jié)合，因此攻擊行動(dòng)的開始就比一般的網(wǎng)絡(luò)釣魚要復(fù)雜的多。攻擊者可以通過 Exchanger 服務(wù)器上的 ProxyLogon（CVE-2021-26855）漏洞，繞過身份驗(yàn)證并以管理員權(quán)限劫持電子郵件發(fā)送釣魚郵件。

收件人會(huì)認(rèn)為發(fā)件人是可信的，如下所示為一個(gè)真實(shí)的釣魚郵件示例。釣魚郵件發(fā)送到收件箱的釣魚郵件，其中包含惡意鏈接。

釣魚郵件示例

電子郵件中的惡意鏈接如下所示，該 URL 中的模式與 QakBot 類似。攻擊者為該 URL 設(shè)置了訪問限制，控制對(duì)惡意文件的訪問情況。例如，必須要在美國使用 Google Chrome 瀏覽器。

釣魚 URL

實(shí)驗(yàn)性惡意軟件投遞

攻擊活動(dòng)中最常見的是 JavaScript 編寫的 Dropper，除此之外還有 Excel-DNA Loader、VBS Downloaders 與 LNK Downloaders。Excel-DNA Loader 最早在 2012 年才出現(xiàn)，是一種比較新的投遞機(jī)制，結(jié)合使用 Microsoft Excel 加載項(xiàng)來下載與運(yùn)行惡意 Payload。

• JavaScript Dropper：使用 Microsoft ECMAScript 編寫的 Dropper，具有高度的適應(yīng)性與擴(kuò)展性。在大多數(shù)情況下，被攻擊者用于下載、寫入、執(zhí)行 PE 可執(zhí)行文件或者 DLL 文件等惡意 Payload。
• Excel-DNA-Loader：創(chuàng)建 XLL 文件作為 Excel 文件加載項(xiàng)，攻擊者將其作為訪問 Payload 的方式。這種投遞方式于 2021 年被開發(fā)出來，很多惡意軟件都利用其進(jìn)行傳播，如 Dridex 銀行木馬。
• VBS Downloader：利用 Visual Basic 運(yùn)行時(shí)程序執(zhí)行惡意軟件的下載與執(zhí)行。使用 Office 文件或者命令行調(diào)用 Windows 可執(zhí)行文件程序，如 cscript.exe 或 wscript.exe。
• LNK Downloader：攻擊者濫用安全文件格式的可信性質(zhì)，在下載和執(zhí)行惡意軟件 Payload 前入侵失陷主機(jī)。攻擊者重新調(diào)整了 LNK 文件的用途，使其可以在 Windows 環(huán)境中運(yùn)行可執(zhí)行腳本。

總結(jié)

攻擊行動(dòng)是先進(jìn)的、精心設(shè)計(jì)的，并且從出現(xiàn)開始就在不斷進(jìn)化。說明其背后的攻擊者保持著非常強(qiáng)烈的技術(shù)領(lǐng)先意識(shí)，而且與 QakBot 有著非常強(qiáng)烈的相似性。