通过接近2个月的沉静,Emotet僵尸网络又回家了,升级了有效载荷,并进行了每日打压10万只总体目标的攻击主题活动。
Emotet在2014年逐渐做为一个金融机构木马,并飞速发展变成一个全面的危害传送体制。它可以在受害者设备上安裝一系列的恶意程序,包含信息盗取器、电子邮箱数据采集器、自身散播体制和勒索病毒。它最后一次发生在10月份,攻击主要是对于民主党派全国各地联合会(DNC)的青年志愿者;而在这之前,它主题活动间断了5个月后,于7月份又逐渐活跃性,逐渐推广Trickbot木马。在这之前的2月份,在一次仿冒推送来源于受害者金融机构短消息的攻击主题活动中,大家看到了它的影子。
"Emotet僵尸网络是在活跃性情况下攻击频次十分多的故意电子邮件发送者之一,但它常常休眠状态几个星期或数月,"Cofense的研究者Brad Haas在周二的blog上说。"2022年,有一次那样的休眠状态从2月份一直不断到了7月中下旬,这也是Cofense在过去的的两年中见到的最久的休眠状态時间。从那以后,她们观测到Emotet的基本主题活动一直维持到10月底,但从那以后直到今日也没有接到所有信息。"
科学研究工作员表明,该僵尸网络的有效载荷一直是维持了原状,沒有转变。"在10月份,最多见的有效载荷是TrickBot,Qakbot和ZLoader;今日大家留意到TrickBot,"依据Haas的观点。
TrickBot恶意程序是一款著名的并且繁杂的木马,最开始是在2016年是被做为金融机构恶意程序而研发出去的--和Emotet一样,它以往也是有更改本身并加上新作用以躲避检验或加强感柒工作能力的个人行为。感柒TrickBot木马的客户将见到她们的机器设备变成僵尸网络的一部分,攻击者用它来载入第二阶段的恶意程序--科学研究工作人员称它是 "几乎一切别的恶意程序有效载荷的理想化的推广器"。
TrickBot感柒后典型性的不良影响是银行帐户被接手、网络诈骗和勒索病毒攻击。它近期完成了查验总体目标系统软件的UEFI/BIOS固定件的作用。微软公司和其它企业在10月对该恶意程序的基础架构开展科学研究攻克后,它又东山再起了。
几个安全性企业发觉了近期的攻击主题活动,Proofpoint根据Twitter强调:"大家看到了10万多条英文、德语、西语、意大利文等语言表达的信息。攻击的鱼饵关键应用Word配件的进程挟持、被密码设置的压缩文件和故意URL等方式。"
进程挟持是Emotet在秋天时增多的一个攻击方法,该攻击方式被Palo Alto Networks的分析工作人员发觉。作业者会将病毒感染插进到电子邮箱中,用于回应总体目标推送的真正电子邮箱。那样收货人没理由觉得这封电子邮件是故意的。
Proofpoint危害科学研究和检验高級主管Sherrod DeGrippo告知Threatpost,这周的主题活动针对Emotet而言是十分常规的主题活动。
"大家的精英团队仍在财务审计新的样版,到现在为止,大家只看到了十分细微的转变。例如,Emotet的方式如今被弄成了一个DLL而不是一个.exe,"DeGrippo说。"当Emotet启动攻击时,大家通常会观查到每日有数十万封电子邮件被推送出来。此次攻击主题活动与许多人的状况类似。因为这种攻击已经进行中,大家已经即时记数开展升级。这种攻击主题活动的数目与以往的别的攻击主题活动相近,一般每日在10万到50千次上下。"
她填补说,此次攻击主题活动最有意思的是时间点。
"大家通常会见到Emotet在12月24日到1月初终止攻击,"她强调。"假如她们一直维持这类方法,那麼近期的这类攻击针对许多人而言将是十分短暂性并且不寻常的。"
Malwarebytes科学研究工作人员与此同时强调,互联网攻击者已经更替应用不一样的钓鱼诱饵,便于对使用者开展社交媒体水利学攻击,使其启用宏。与此同时包含应用以COVID-19为主题风格的钓鱼诱饵。科学研究工作人员还留意到Emotet犯罪团伙用仿冒的不正确信息载入有效载荷。
Haas的Cofense精英团队观查到了一样的攻击主题活动,并强调这意味着Emotet犯罪团伙开展了技术性的创新。
"新的Emotet maldoc发生了一个显著的转变,可能是为了避免受害者注意到她们早已被感染了,"他说道。"该文本文档依然包括安裝Emotet的故意宏代码,而且依然表明是一个 "受维护 "的文本文档,必须客户启用宏才可以开启它。旧版在启用宏后不容易得出一切看得见的回应,这也许会让受害者造成猜疑。最新版本会建立一个提示框,说 "Word在试着打开文件时碰到了不正确"。这会给客户一个表述,为何她们沒有见到预估的內容,并使她们更有可能忽视产生的全部事情,而这时Emotet早已逐渐在后台程序了。"
DeGrippo告知Threatpost,对这种电子邮件的基本观查说明,一些进程遭劫持后会规定收货人开启一个.zip配件,并必须给予登陆密码开展浏览。
科学研究工作员表明,该恶意程序的再次发生,尽管与先前的主题活动对比并没有什么更改,但它应当非常值得被管理人员关心。
有关"Emotet ",最难以相信的是它与别的犯罪嫌疑人联合启动攻击,尤其是这些从业勒索病毒业务流程的犯罪嫌疑人。Emotet - TrickBot – Ryuk组成在2018年圣诞前后左右导致了明显的毁坏,"依据Malwarebytes的观点。"尽管一些互联网攻击者也会过假日,但当很多企业的工作员降低时,这时便是进行新一轮攻击的绝妙机会。由于传染病的发生和近期的SolarWinds事情,2022年的形势更为重要。大家督促各机构必须尤其当心,再次采取一定的有效措施维护网络信息安全,尤其是安全性现行政策和密钥管理层面的维护。"
文中翻譯自:https://threatpost.com/emotet-returns-100k-mailboxes/162584/