今年 9 月开始传播的被摧棒传播恶 DarkGate 恶意软件已经发展成为世界上最先进的网络钓鱼攻击行动之一
。从那时起，毁后DarkGate 就不断完善检测规避策略与各种反分析技术。接件DarkGate 与 PikaBot 在 QakBot 销声匿迹一个月后激增 ，意软并且与 QakBot 的被摧棒传播恶 TTP 相似。攻击者向各行各业传播了大量电子邮件，毁后由于投递了恶意软件加载程序，接件受害者可能面临更复杂的意软威胁 ，如勒索软件等 。被摧棒传播恶

今年 8 月，毁后美国联邦调查局和司法部宣布司法机构已经捣毁了 QakBot 的接件攻击基础设施 。从那时起 ，高防服务器意软QakBot 就陷入沉寂，被摧棒传播恶攻击基础设施不再有什么变化
 。毁后虽然 QakBot 的接件攻击者与 DarkGate 与 PikaBot 的直接归因很困难，但二者间仍然有许多相似之处 。DarkGate 紧接着 QakBot 出现 ，使用与 QakBot 相同的网络钓鱼策略 ，包括初始感染劫持的电子邮件 、限制用户访问独特模式的 URL 等。二者使用了几乎相同的感染链，都可以当作恶意软件加载程序，服务器租用向失陷主机投递额外的恶意软件。

典型时间线

从攻击者所使用的 TTP 来看，无疑是一种高级威胁 。在攻击行动的生命周期中，研究人员发现了几个不同的感染链，就像攻击者在测试投递不同的恶意软件 。最主要的感染链如下所示，也与 QakBot 的攻击活动一致
。云计算

主要感染链

该攻击行动以被劫持的电子邮件开始
，诱使受害者点击 URL。该 URL 地址也增加了访问限制，只有满足攻击者设定要求（位置与特定浏览器）的用户，才能正常获取到恶意 Payload。通过 URL 下载一个 ZIP 压缩文件，其中包含一个作为 Dropper 的 JavaScript 文件。通过它，可以访问另一个 URL 下载并运行恶意软件。到此阶段，受害者已经被 DarkGate 或 PikaBot 感染
。

DarkGate 与 PikaBot 都被认为是具有加载程序与反分析能力的建站模板高级恶意软件。对 QakBot 附属机构等攻击者来说，最吸引人的是一旦成功入侵，就可以提供额外的恶意 Payload。在感染后，DarkGate 与 PikaBot 可能会投递挖矿木马、勒索软件或者攻击者希望在失陷主机上安装的任何恶意软件。恶意软件家族如下所示 ：

攻击者将众所周知的检测规避技术与反分析技术相结合，源码下载因此攻击行动的开始就比一般的网络钓鱼要复杂的多。攻击者可以通过 Exchanger 服务器上的 ProxyLogon（CVE-2021-26855）漏洞，绕过身份验证并以管理员权限劫持电子邮件发送钓鱼邮件。

收件人会认为发件人是可信的，如下所示为一个真实的钓鱼邮件示例。钓鱼邮件发送到收件箱的钓鱼邮件 ，其中包含恶意链接 。

钓鱼邮件示例

电子邮件中的恶意链接如下所示 ，该 URL 中的模式与 QakBot 类似。攻击者为该 URL 设置了访问限制，控制对恶意文件的访问情况。例如，必须要在美国使用 Google Chrome 浏览器 。

钓鱼 URL

攻击活动中最常见的是 JavaScript 编写的 Dropper，除此之外还有 Excel-DNA Loader、VBS Downloaders 与 LNK Downloaders。Excel-DNA Loader 最早在 2012 年才出现  ，是一种比较新的投递机制 ，结合使用 Microsoft Excel 加载项来下载与运行恶意 Payload
。

攻击行动是先进的 、精心设计的 ，并且从出现开始就在不断进化。说明其背后的攻击者保持着非常强烈的技术领先意识 ，而且与 QakBot 有着非常强烈的相似性。