最近趨勢科技研究了一起由 Black Basta 勒索病毒 Ransomware集團所策劃的攻擊，這起攻擊使用了 QakBot 木馬程式作為首次入侵及橫向移動手段，同時也運用 PrintNightmare 漏洞來執行一些需要提高權限的檔案操作。

 Black Basta 勒索病毒集團自今年 4 月開始營運以來，近期在全球已累積 50 起攻擊案例，可說是惡名昭彰，同時它還採用了現代化勒索病毒慣用的雙重勒索手法，除了會將機密資料加密之外，還會威脅受害者若不支付贖金就要將資料外流。這個新興的勒索病毒集團一直在不斷精進其攻擊手法。最近我們發現他們使用  QakBot 銀行木馬程式作為首次入侵及橫向移動手段，同時也運用 PrintNightmare 漏洞 (CVE-2021-34527) 來執行一些需要提高權限的檔案操作。
◾延伸閱讀:竟在”已傳送”郵件資料夾內偵測到高風險 Qakbot 病毒?原來帳號被盜了!

根據趨勢科技某家客戶的案例，其系統上感染的 Black Basta 勒索病毒就是由 QakBot 所植入 (圖 1)。這是 QakBot 惡意程式家族的典型行為，也是許多勒索病毒家族所使用的散播途徑，例如：MegaCortex、PwndLockerm、Egregor、ProLock 和 REvil (亦稱為 Sodinokibi)。QakBot在 2007 年首次被發現，向來以滲透能力著稱，曾在多起攻擊行動中扮演「惡意程式安裝服務」的角色。多年來，這個銀行木馬程式越來越精密，從它有能力攻擊新發現的 Microsoft 零時差漏洞 Follina (CVE-2022-30190) 即可見一斑。