QakBot 相关 BC 恶意软件新增强化远程访问与数据收集功能

网络安全研究人员披露了一款新BackConnect（BC）恶意软件的详细信息，该软件由与臭名昭著的QakBot加载程序相关的威胁行为者开发。

沃尔玛网络情报团队向The Hacker News表示：“BackConnect是威胁行为者用来保持持久性和执行任务的一种常见功能或模块。正在使用的BackConnect包括‘DarkVNC’和IcedID的BackConnect（KeyHole）。”

该公司指出，BC模块是在同一基础设施上发现的，该基础设施还用于分发另一种名为ZLoader的恶意软件加载程序，该程序最近已更新，纳入了域名系统（DNS）隧道，用于命令与控制（C2）通信。

QakBot（又称QBot和Pinkslipbot）在2023年遭受重大运营挫折，其基础设施在一项名为“Duck Hunt”的协调执法行动中被查封。自那以后，不断有传播该恶意软件的零星活动被发现。

QakBot最初被设计为银行木马，后来被改造为加载程序，能够在目标系统上交付下一阶段的有效载荷，如勒索软件。QakBot和IcedID的一个显著特点是其BC模块，该模块使威胁行为者能够将主机用作代理，并通过嵌入的VNC组件提供远程访问通道。

沃尔玛的分析显示，BC模块除了包含对旧版QakBot样本的引用外，还得到了进一步增强和开发，用于收集系统信息，在某种程度上充当自主程序，以便利后续利用。

沃尔玛表示：“我们所说的这款恶意软件是一个独立的后门程序，利用BackConnect作为媒介，允许威胁行为者获得键盘访问权限。这款后门程序收集系统信息的特点进一步凸显了这一区别。”

Sophos也对BC恶意软件进行了独立分析，将该软件的痕迹归因于其追踪的威胁集群STAC5777，该集群与Storm-1811重叠，Storm-1811是一个以假扮技术支持人员滥用Quick Assist部署Black Basta勒索软件而臭名昭著的网络犯罪集团。

这家英国网络安全公司指出，STAC5777和STAC5143（一个可能与FIN7有联系的威胁集团）都利用电子邮件轰炸和Microsoft Teams钓鱼攻击潜在目标，诱骗他们通过Quick Assist或Teams内置的屏幕共享功能授予攻击者远程访问其计算机的权限，以安装Python后门和Black Basta勒索软件。

Sophos表示：“这两个威胁行为者都在自己的攻击中运营Microsoft Office 365服务租户，并利用Microsoft Teams的默认配置，该配置允许外部域的用户与内部用户发起聊天或会议。”

沃尔玛表示，鉴于Black Basta运营商之前曾依赖QakBot部署勒索软件，而新款BC模块的出现，再加上Black Basta近几个月也分发了ZLoader的事实，这表明了一个高度互联的网络犯罪生态系统，其中QakBot背后的开发者很可能正在为Black Basta团队提供新工具。

消息来源：The Hacker News, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；