今年 9 月开始传播的 DarkGate 恶意软件已经发展成为世界上最先进的网络钓鱼攻击行动之一。从那时起，DarkGate 就不断完善检测规避策略与各种反分析技术。DarkGate 与 PikaBot 在 QakBot 销声匿迹一个月后激增，并且与 QakBot 的 TTP 相似。攻击者向各行各业传播了大量电子邮件，由于投递了恶意软件加载程序，受害者可能面临更复杂的威胁，如勒索软件等。

今年 8 月，美国联邦调查局和司法部宣布司法机构已经捣毁了 QakBot 的攻击基础设施。从那时起，QakBot 就陷入沉寂，攻击基础设施不再有什么变化。虽然 QakBot 的攻击者与 DarkGate 与 PikaBot 的直接归因很困难，但二者间仍然有许多相似之处。DarkGate 紧接着 QakBot 出现，使用与 QakBot 相同的网络钓鱼策略，包括初始感染劫持的电子邮件、限制用户访问独特模式的 URL 等。二者使用了几乎相同的感染链，都可以当作恶意软件加载程序，向失陷主机投递额外的恶意软件。

典型时间线

深入了解网络钓鱼攻击

从攻击者所使用的 TTP 来看，无疑是一种高级威胁。在攻击行动的生命周期中，研究人员发现了几个不同的感染链，就像攻击者在测试投递不同的恶意软件。最主要的感染链如下所示，也与 QakBot 的攻击活动一致。

主要感染链

该攻击行动以被劫持的电子邮件开始，诱使受害者点击 URL。该 URL 地址也增加了访问限制，只有满足攻击者设定要求（位置与特定浏览器）的用户，才能正常获取到恶意 Payload。通过 URL 下载一个 ZIP 压缩文件，其中包含一个作为 Dropper 的 JavaScript 文件。通过它，可以访问另一个 URL 下载并运行恶意软件。到此阶段，受害者已经被 DarkGate 或 PikaBot 感染。

DarkGate 与 PikaBot 都被认为是具有加载程序与反分析能力的高级恶意软件。对 QakBot 附属机构等攻击者来说，最吸引人的是一旦成功入侵，就可以提供额外的恶意 Payload。在感染后，DarkGate 与 PikaBot 可能会投递挖矿木马、勒索软件或者攻击者希望在失陷主机上安装的任何恶意软件。恶意软件家族如下所示：

• DarkGate 在 2018 年闪亮登场，支持加密货币挖掘、凭据窃取、勒索软件与远程访问。各种功能都支持通过插件安装，并提供了多种逃避检测与提权的方法。DarkGate 使用合法的 AutoIT 程序，通常会运行多个 AutoIT 脚本。
• PikaBot 在 2023 年首次出现，由于能投递额外的恶意软件 Payload 也是加载程序。PikaBot 支持多种检测规避技术，避免沙盒、虚拟机以及其他调试技术。独联体国家被排除在外，不会被该恶意软件感染。

规避技术与反分析技术结合

攻击者将众所周知的检测规避技术与反分析技术相结合，因此攻击行动的开始就比一般的网络钓鱼要复杂的多。攻击者可以通过 Exchanger 服务器上的 ProxyLogon（CVE-2021-26855）漏洞，绕过身份验证并以管理员权限劫持电子邮件发送钓鱼邮件。

收件人会认为发件人是可信的，如下所示为一个真实的钓鱼邮件示例。钓鱼邮件发送到收件箱的钓鱼邮件，其中包含恶意链接。

钓鱼邮件示例

电子邮件中的恶意链接如下所示，该 URL 中的模式与 QakBot 类似。攻击者为该 URL 设置了访问限制，控制对恶意文件的访问情况。例如，必须要在美国使用 Google Chrome 浏览器。

钓鱼 URL

实验性恶意软件投递

攻击活动中最常见的是 JavaScript 编写的 Dropper，除此之外还有 Excel-DNA Loader、VBS Downloaders 与 LNK Downloaders。Excel-DNA Loader 最早在 2012 年才出现，是一种比较新的投递机制，结合使用 Microsoft Excel 加载项来下载与运行恶意 Payload。

• JavaScript Dropper：使用 Microsoft ECMAScript 编写的 Dropper，具有高度的适应性与扩展性。在大多数情况下，被攻击者用于下载、写入、执行 PE 可执行文件或者 DLL 文件等恶意 Payload。
• Excel-DNA-Loader：创建 XLL 文件作为 Excel 文件加载项，攻击者将其作为访问 Payload 的方式。这种投递方式于 2021 年被开发出来，很多恶意软件都利用其进行传播，如 Dridex 银行木马。
• VBS Downloader：利用 Visual Basic 运行时程序执行恶意软件的下载与执行。使用 Office 文件或者命令行调用 Windows 可执行文件程序，如 cscript.exe 或 wscript.exe。
• LNK Downloader：攻击者滥用安全文件格式的可信性质，在下载和执行恶意软件 Payload 前入侵失陷主机。攻击者重新调整了 LNK 文件的用途，使其可以在 Windows 环境中运行可执行脚本。

总结

攻击行动是先进的、精心设计的，并且从出现开始就在不断进化。说明其背后的攻击者保持着非常强烈的技术领先意识，而且与 QakBot 有着非常强烈的相似性。