QBot恶意软件扩展C2基础设施

关键点汇总

QBot恶意软件新建立15个指挥与控制C2服务器。6个活跃C2服务器来自于6月之前的活动。2个新C2服务器在6月开始活动。C2连接与T2连接趋势的联系。

根据《黑客新闻》的报道，截至6月底，QBot恶意软件也称为QakBot已建立了15个新的指挥与控制C2服务器，以增强其攻击基础设施。QBot利用分层的C2网络架构，促进C2节点与二级C2节点之间的外部通信。然而，按照Team Cymru的报告，在6月初，活跃通信的C2数量显著下降，美国境内的C2几乎消失，原因是5月时Black Lotus Labs进行了无路由攻击。

尽管如此，在7月仍发现了6个活跃的QBot C2服务器，这些服务器是在6月之前建立的，还有两个在6月开始活动。研究还发现，入站的恶意机器人C2连接的激增与外部的二级T2连接的提升相关联，而恶意机器人C2的活动通常会在外部T2连接激增时下降。Team Cymru表示：“通过将受害者提升为与T2通信的C2基础设施，QakBot有效地对用户进行双重惩罚：第一次是首次妥协，第二次是被公开识别为恶意主机而潜在威胁声誉的风险。”

火烧云官网