【跨國行動】FBI搗破Qakbot殭屍網絡　解放70萬電腦

FBI 發表勝利宣言，指已聯同其他國家執法機關，成功搗破殭屍網絡 Qakbot 的基建設施，並透過控制中心解救了 70 萬受感染電腦。由於 Qakbot 會為其他犯罪組織如 Conti、RansomExx、BlackCat 等提供入侵服務，因此破壞力驚人，估計單在 2021 年 10 月至 2023 年 4 月期間，Qakbot 已從犯罪活動中獲得了約 5800 萬美元的收入！

Qakbot 已有 15 年歷史　最初為銀行木馬

Qakbot（又稱 Qbot 及 Pinkslipbot）最早出現於 2008 年，當時 Qakbot 的主要功能是銀行木馬，入侵目的是竊取銀行證書、網站 cookies 及信用卡等敏感訊息，以便進行金融詐騙。其後逐漸轉變入侵意圖，甚至為其他犯罪集團如勒索軟件組織提供入侵立足點等服務。

Qakbot 主要透過釣魚電郵散播，黑客會嘗試通過濫用電郵回覆鏈向目標人士發送惡意附件，由於目標人士與發信人已曾多次經電郵往來，因此傾向相信電郵內容可信，從而打開帶有惡意指令的 Word 或 Excel 文檔、OneNote 文件，或者打開可執行文件和 Windows ISO 檔案。當 Qakbot 完成安裝，它會自動注入合法的 Windows 進程，以逃避安全軟件的檢測，然後才開始竊取受害者的訊息，並利用其帳戶進行其他釣魚活動。

FBI 與世界各國聯手　滲透 Qakbot 基建設施

而在這次由 FBI 牽頭，代號為 Duck Hunt 的行動中，FBI 便與英國、法國及多地執法部門組成跨國聯合部隊。根據 FBI 公布，調查員成功控制 Qakbot 其中一個管理員的電腦設備及基建設施，從中取得組織大量機密資訊，包括組織與其他犯罪集團的對話、組織控制的加密貨幣錢包、受害企業名單、受感染電腦的資料，以及曾收取的贖金等。

調查員發現，Qakbot 使用了多層級控制中心去發布惡意指令、推送惡意軟件更新及其他黑客組織的惡意負載到受感染電腦上，最高層級的控制中心大都位處美國境內，而其他層級的服務器則通常來自其他國家。

當 FBI 成功滲透 Qakbot 的基建設施和管理員的設備後，調查員便獲得了用於與控制中心通訊的加密密鑰，從而有能力向受感染設備發送解毒器，並將其他 Qakbot 管理員帳戶刪除，無法妨礙 FBI 的解毒工作。官方指研究員創建了一個自定義的 Windows DLL 檔案，並通過控制中心推送到受感染設備上，成功停止 Qakbot 運作，據知一共有 70 萬部電腦獲救，可見 Qakbot 的感染及隱身能力非常強大。

不過，FBI 表示這次解毒行動只是停止了 Qakbot 運作，並沒有為受感染電腦剷除其他病毒，因此即使受害企業會接到通知，也不代表其電腦已變得乾淨，特別是由於設備曾被入侵，表示可能還會隱藏其他間諜軟件或勒索軟件，呼籲相關企業必須立即檢查電腦設備及提升防禦能力。

資料來源：https://www.bleepingcomputer.com/news/security/qakbot-botnet-dismantled-after-infecting-over-700-000-computers 及 https://www.bleepingcomputer.com/news/security/how-the-fbi-nuked-qakbot-malware-from-infected-windows-pcs