Emotet歸來,每天攻擊10萬個郵箱
經過將近兩個月的沉寂,Emotet僵尸網絡又回來了,更新了有效載荷,并開展了每天打擊10萬個目標的攻擊活動。
Emotet在2014年開始作為一個銀行木馬,并不斷發展成為一個全方位的威脅傳輸機制。它可以在受害者機器上安裝一系列的惡意軟件,包括信息竊取器、電子郵件采集器、自我傳播機制和勒索軟件。它最后一次出現在10月份,攻擊主要是針對民主黨全國委員會(DNC)的志愿者;而在此之前,它活動停頓了5個月后,于7月份又開始活躍,開始投放Trickbot木馬。在此之前的2月份,在一次偽造發送來自受害者銀行短信的攻擊活動中,人們看到了它的身影。
"Emotet僵尸網絡是在活躍狀態下攻擊次數非常多的惡意電子郵件發送者之一,但它經常休眠數周或數月,"Cofense的研究員Brad Haas在周二的博客中說。"今年,有一次這樣的休眠從2月份一直持續到了7月中旬,這是Cofense在過去的幾年中看到的最長的休眠時間。從那時起,他們觀察到Emotet的常規活動一直持續到10月底,但從那時起直到今天都沒有收到任何消息。"
研究人員表示,該僵尸網絡的有效載荷一直是保持了原樣,沒有變化。"在10月份,最常見的有效載荷是TrickBot,Qakbot和ZLoader;今天我們觀察到TrickBot,"根據Haas的說法。
TrickBot惡意軟件是一款知名的而且復雜的木馬,最早是在2016年是被作為銀行惡意軟件而開發出來的--和Emotet一樣,它過去也有改變自身并添加新功能以逃避檢測或加強感染能力的行為。感染TrickBot木馬的用戶將看到他們的設備成為僵尸網絡的一部分,攻擊者用它來加載第二階段的惡意軟件--研究人員稱它是 "幾乎任何其他惡意軟件有效載荷的理想的投放器"。
TrickBot感染后典型的后果是銀行賬戶被接管、電信詐騙和勒索軟件攻擊。它最近實現了檢查目標系統的UEFI/BIOS固件的功能。微軟和其他公司在10月對該惡意軟件的基礎架構進行研究攻破后,它又卷土重來了。
幾家安全公司發現了最新的攻擊活動,Proofpoint通過Twitter指出:"我們看到了10萬多條英語、德語、西班牙語、意大利語等語言的信息。攻擊的誘餌主要使用Word附件的線程劫持、被密碼保護的壓縮包和惡意URL等手段。"
線程劫持是Emotet在秋季時增加的一個攻擊方式,該攻擊方式被Palo Alto Networks的研究人員發現。操作者會將病毒插入到電子郵件中,用以回復目標發送的真實電子郵件。這樣收件人沒有理由認為這封郵件是惡意的。
Proofpoint威脅研究和檢測高級總監Sherrod DeGrippo告訴Threatpost,本周的活動對于Emotet來說是非常正常的活動。
"我們的團隊仍在審計新的樣本,到目前為止,我們只發現了非常微小的變化。例如,Emotet的形式現在被做成了一個DLL而不是一個.exe,"DeGrippo說。"當Emotet發動攻擊時,我們通常會觀察到每天有數十萬封電子郵件被發送出去。這次攻擊活動與他們的情況差不多。由于這些攻擊正在進行中,我們正在實時計數進行更新。這些攻擊活動的數量與過去的其他攻擊活動類似,一般每天在10萬到50萬次左右。"
她補充說,這次攻擊活動最有趣的是時間點。
"我們通常會看到Emotet在12月24日到1月初停止攻擊,"她指出。"如果他們一直保持這種方式,那么最近的這種攻擊對于他們來說將是非常短暫而且不尋常的。"
Malwarebytes研究人員同時指出,網絡攻擊者正在交替使用不同的釣魚誘餌,以便對用戶進行社交工程學攻擊,使其啟用宏。同時包括使用以COVID-19為主題的釣魚誘餌。研究人員還觀察到Emotet團伙用偽造的錯誤信息加載有效載荷。
Haas的Cofense團隊觀察到了同樣的攻擊活動,并指出這標志著Emotet團伙進行了技術的革新。
"新的Emotet maldoc發生了一個明顯的變化,可能是為了防止受害者注意到他們已經被感染了,"他說。"該文檔仍然包含安裝Emotet的惡意宏代碼,并且仍然顯示是一個 "受保護 "的文檔,需要用戶啟用宏才能打開它。舊版本在啟用宏后不會給出任何可見的響應,這可能會讓受害者產生懷疑。新版本會創建一個對話框,說 "Word在嘗試打開文件時遇到了錯誤"。這會給用戶一個解釋,為什么他們沒有看到預期的內容,并使他們更有可能忽略發生的整個事件,而此時Emotet已經開始在后臺運行了。"
DeGrippo告訴Threatpost,對這些郵件的初步觀察表明,一些線程被劫持后會要求收件人打開一個.zip附件,并需要提供密碼進行訪問。
研究人員表示,該惡意軟件的再次出現,雖然與之前的活動相比并沒有任何改變,但它應該值得被管理員關注。
關于"Emotet ",最令人擔心的是它與其他犯罪分子聯手發動攻擊,特別是那些從事勒索軟件業務的犯罪分子。Emotet - TrickBot – Ryuk組合在2018年圣誕節前后造成了嚴重的破壞,"根據Malwarebytes的說法。"雖然一些網絡攻擊者也會過假期,但當許多公司的工作人員減少時,此時就是發起新一輪攻擊的絕佳時機。鑒于流行病的爆發和最近的SolarWinds事件,今年的局勢更加關鍵。我們敦促各組織需要特別警惕,繼續采取措施保護網絡安全,特別是安全政策和訪問控制方面的保護。"
本文翻譯自:https://threatpost.com/emotet-returns-100k-mailboxes/162584/
