2023 年 8 月，美國聯邦調查局宣布，在名為“獵鴨行動”的國際執法活動中，成功拆除 Qakbot 僵尸網絡（Qakbot 也稱 QBot、QuackBot 和 Pinkslipbot，自 2008 年以來一直非常活躍）。然而 Security A ffairs 網站近日披露，QakBot 惡意軟件背后運營商仍然在活躍，他們發動一場網絡釣魚活動，主要提供勒索軟件和 Remcos RAT。

據悉， "獵鴨行動"由美國、法國、德國、荷蘭、羅馬尼亞、拉脫維亞和英國等國執法機構一同參與。

QakBot 生命力強勁，死灰復燃

"獵鴨行動"并沒有完全解決 Qakbot 惡意軟件 ，Cisco Talos 研究人員發現其背后運營商仍然很活躍。據研究人員透露，Qakbot 惡意軟件背后運營商自 2023 年 8 月初以來一直在開展活動，旨在傳播 Ransom Knight 勒索軟件和 Remcos RAT。

值得一提的是，該網絡攻擊活動在聯邦調查局于 8 月底關閉 Qakbot 基礎設施之前就已經開始了，目前仍在進行中。網絡安全專家通過將此次攻擊中使用的 LNK 文件中的元數據與此前 Qakbot 活動中的機器聯系起來，追蹤到了新網絡攻擊活動。Talos 表示這一活動可能與 Qakbot 附屬組織有關，并推測背后運營商仍在運營。

網絡安全專家推測聯邦調查局發起的聯合執法行動可能沒有影響 Qakbot 垃圾郵件發送基礎設施，其影響僅限于 C2 基礎設施的一部分。

Talos 在發布的分析報告中表示，Talos 于 2023 年 8 月確定了在上述同一臺機器上創建的新 LNK 文件，但觀察到文件的有效載荷在命令行中指向一個網絡共享，該網絡共享提供了 Ransom Knight 勒索軟件的一個變種。

Talos 還觀察到一些文件名是用意大利語書寫的，這表明該活動的目標是意大利用戶，這些信息使用 Zip 壓縮包，其中包含 LNK 文件和一個 XLL 文件（XLL 是 Excel 加載項的擴展名），XLL 文件是攻擊者和Ransom Knight 在感染后用來訪問機器的 Remcos 后門。

Talos 在分析報告中聲稱其內部研究人員并不認為 Qakbot 威脅攻擊者是贖金軟件即服務幕后黑手，他們只是該服務的客戶。上述提到的新網絡攻擊活動從 2023 年 8 月初就開始了，并且在被攻破后也沒有停止，因此認為 FBI 的行動并沒有影響 Qakbot 的釣魚電子郵件發送基礎設施，而只是影響了其指揮和控制服務器。

此外，分析報告中還指出雖然安全研究人員還沒有觀察到威脅攻擊者在 Qakbot 基礎設施被拆除后分發惡意軟件，但鑒于其運營商仍然活躍，可能還會選擇重建 Qakbot 基礎設施，以完全恢復拆除前的狀態。