1-5 月威脅醫療,製造和政府部門三大產業的 Qakbot 變種,透過帶有惡意連結的郵件散播,這些郵件看起來像是在回覆一串業務討論郵件。
除了收件匣外,還在”已傳送”郵件資料夾內偵測到惡意威脅,這意味著不知情的使用者可能被盜用帳號來傳送夾帶惡意威脅的有害郵件。
已知的惡意軟體會不停地以更新更複雜的變種面貌再次出現,再加上有完全未知的威脅冒出,這些都需要具備先進偵測及回應功能的解決方案。
Qakbot重出江湖,威脅醫療產業,製造業和政府部門
趨勢科技經由託管式偵測及回應(MDR)服務發現有許多威脅來自寄入的電子郵件。這些郵件經常包含了網路釣魚(Phishing)連結、惡意檔案或指示。而且從每日對電子郵件後設資料(metadata)的分析調查可以看出不止是寄入郵件,還可以從使用者自己的”已傳送”郵件資料夾內偵測到惡意威脅。顯示出不知情的使用者可能被盜用帳號來傳送夾帶惡意威脅的有害郵件。從這類事件裡,我們關聯出電子郵件入侵來散播Qakbot相關郵件。
已知此惡意軟體會經由網路分享、可移除磁碟或軟體漏洞進行散播。我們最近所看到的例子是透過帶有惡意連結的郵件散播。點入連結會下載包含VBS檔(偵測為Trojan.VBS.QAKBOT.SM)的zip檔案,接著會下載一個惡意執行檔(趨勢科技偵測為Backdoor.Win32.QBOT.SMTH)。
繼續閱讀
