PikaBot 惡意軟體

Infosec 研究人員發現了一個包含 PikaBot 惡意軟體的高度複雜的網路釣魚活動，將其標記為自拆除Qakbot操作以來最先進的網路釣魚操作。這項詐騙電子郵件活動於 2023 年 9 月開始，此前 FBI 成功扣押並關閉了 QBot (Qakbot) 基礎設施。

研究人員表示，在 PikaBot 之前，攻擊活動主要利用一種名為「Dark Gate」的威脅。攻擊者所採用的技巧和技術與先前的 Qakbot 活動中所見的技巧和技術非常相似，這表明 Qbot 威脅行為者已轉向更新的惡意軟體殭屍網路。

Qbot 是透過電子郵件傳播的最廣泛的惡意軟體殭屍網路之一。現在，DarkGate 和 PikaBot 與Qbot共享許多功能，作為模組化惡意軟體載入程序，對企業構成了重大威脅。與 Qbot 類似，這些新的惡意軟體載入程式預計將被威脅行為者用來獲得對網路的初始存取權限，這可能導致勒索軟體、間諜活動和資料竊取攻擊。

PikaBot 透過網路釣魚攻擊傳播

Infosec 研究人員觀察到，傳播DarkGate 惡意軟體的詐欺相關電子郵件大幅增加，從2023 年10 月開始，威脅行為者開始將PikaBot 部署為主要有效負載。網路釣魚活動以偽裝成回覆或轉發被盜討論的電子郵件 發起。thread，一種旨在培養收件人之間信任的策略。

點擊嵌入的 URL 後，使用者會進行一系列檢查以確認其作為目標的有效性，隨後系統會提示下載包含惡意軟體植入程式的 ZIP 檔案。此釋放器從遠端資源檢索最終的有效負載。

攻擊者嘗試了各種初始惡意軟體植入程式以確定其有效性，包括：

• JavaScript dropper (JS Dropper) 設計用於下載和執行 PE 或 DLL。
• Excel-DNA 載入程式利用旨在建立 XLL 檔案的開源項目，在此處用於下載和執行惡意軟體。
• VBS（虛擬基本腳本）下載程式能夠透過 Microsoft Office 文件中的 .vbs 檔案或呼叫命令列可執行檔執行惡意軟體。
• LNK 下載器濫用 Microsoft 捷徑檔案 (.lnk) 下載並執行惡意軟體。

在整個 2023 年 9 月，DarkGate 惡意軟體充當了這些攻擊的最終有效負載，但隨後在 2023 年 10 月被 PikaBot 取代。

PikaBot 擁有廣泛的反分析措施

PikaBot 於 2023 年初推出，是一種當代惡意軟體，由載入程式和核心模組組成，配備強大的反調試、反虛擬機器和反模擬機制。該惡意軟體會仔細分析受感染的系統，並將收集到的資料傳輸到其命令和控制 (C2) 基礎設施，並在那裡等待進一步的指令。

C2 發出命令，指示惡意軟體下載並執行模組，這些模組以 DLL 或 PE 檔案、shellcode 或命令列命令的形式提供，展示了其作為工具的多功能性。

研究人員警告說，PikaBot 和 DarkGate 活動是由熟練的威脅參與者精心策劃的，他們的技能超過了典型的網路釣魚者。因此，敦促組織熟悉與此活動相關的策略、技術和程序 (TTP)。