مثل العملة الصعبة التي يضرب بها المثل والذي يستمر في الظهور باستمرار ، عادت عملية البرامج الضارة Emotet إلى الظهور مرة أخرى - هذه المرة بعد فترة هدوء استمرت حوالي ثلاثة أشهر.
لاحظ الباحثون الأمنيون هذا الأسبوع أن المجموعة تشكل مرة أخرى تهديدًا للمنظمات في كل مكان ، مع استئناف نشاط البريد الإلكتروني الضار المرتبط بـ Emotet في وقت مبكر في 7 مارس. وصلت رسائل البريد الإلكتروني إلى صناديق الوارد الخاصة بالضحايا كردود تبدو غير ضارة على محادثات البريد الإلكتروني الحالية والخيوط. ، لذلك من المرجح أن يثق المستلمون في المحتوى الخاص بهم. تم إرسال بعض رسائل البريد الإلكتروني الخاصة بـ Emotet كرسائل جديدة أيضًا.
ملف كبير جدا وحمولة
تحتوي رسائل البريد الإلكتروني على مرفق .zip ، والذي عند فتحه ، يسلم مستند Word الذي يطالب المستخدم بتمكين ماكرو ضار. في حالة التمكين ، يقوم الماكرو بدوره بتنزيل إصدار جديد من Emotet من موقع خارجي ويقوم بتنفيذه محليًا على الجهاز.
باحثون من Cofense و Hornet Security الذي لاحظ النشاط الخبيث الجديد وصف مستندات Word والحمولة الخبيثة بأنها متضخمة في الحجم وتأتي بأكثر من 500 ميغا بايت لكل منهما. بشكل عام ، ظل حجم النشاط دون تغيير منذ أوائل 7 مارس ، وكانت جميع رسائل البريد الإلكتروني عبارة عن بريد عشوائي قائم على المرفقات ، كما قال الباحثون.
يقول Jason Muerer ، كبير مهندسي الأبحاث في Cofense: "إن مستندات Office الضارة و Emotet DLLs التي نراها هي ملفات كبيرة جدًا". "لم نلاحظ حتى الآن أي روابط مع رسائل البريد الإلكتروني."
عزا هورنت سيكيوريتي حجم الملفات الكبيرة والحمولة الصافية كمحاولة محتملة من قبل المجموعة لمحاولة التسلل إلى أدوات الكشف عن نقاط النهاية والاستجابة (EDR) للبرامج الضارة. "يستخدم الإصدار الأخير من Emotet ملفات كبيرة جدًا لتجاوز عمليات الفحص الأمني التي تقوم فقط بفحص وحدات البايت الأولى من الملفات الكبيرة أو تخطي الملفات الكبيرة تمامًا ،" وفقًا لما نشره باحثو هورنت. "هذا المثيل الجديد يعمل حاليًا بوتيرة بطيئة ، ولكن مختبر الأمان الخاص بنا يتوقع أن ينتعش".
برنامج ضار يرفض الموت
Emotet هو تهديد للبرامج الضارة ظهر لأول مرة على أنه حصان طروادة مصرفي في عام 2014. على مر السنين ، قام مؤلفوه - الذين تم تتبعهم بشكل مختلف مثل Mealbug و Mummy Spider و TA542 - بتحويل حصان طروادة المصرفي السابق إلى أداة توصيل برامج ضارة متطورة ومربحة من التهديدات الأخرى يمكن للممثلين استخدامها لتقديم حمولات ضارة مختلفة. تضمنت هذه الحمولات في السنوات الأخيرة سلالات غزيرة جدًا من برامج الفدية ، مثل Ryuk و Conti و Trickbot.
كان الوضع المفضل لممثلي التهديد لتقديم Emotet عبر رسائل البريد الإلكتروني العشوائية والتصيد الاحتيالي ، وقد تم تصميمه لحمل المستخدمين على فتح الملفات المرفقة أو النقر على الروابط المضمنة لمواقع تسليم البرامج الضارة. بمجرد قيام المهاجم بخرق نظام ما ، يتم استخدام Emotet لتنزيل برامج ضارة أخرى عليه لسرقة البيانات أو تثبيت برامج الفدية أو للأنشطة الضارة الأخرى مثل سرقة البيانات المالية. البنية التحتية للقيادة والتحكم في Emotet (C2) حاليًا يعمل على شبكتين منفصلتين التي عينها بائعو الأمن على أنها الحقبة 4 (E4) والعصر 5 (E5)
في أوائل عام 2021 ، مسؤولو إنفاذ القانون من دول متعددة تعطلت البنية التحتية لشركة Emotet في جهد تعاوني كبير لم تفعل شيئًا يُذكر لمنع الجهة المهددة من الاستمرار في استخدام البرامج الضارة كخدمة. في ذلك الوقت ، كان قيمت وزارة العدل الأمريكية أن مشغلي Emotet يضمون أكثر من 1.6 مليون جهاز كمبيوتر في جميع أنحاء العالم بين أبريل 2020 ويناير 2021. وكان من بين الضحايا منظمات في مجال الرعاية الصحية والحكومة والبنوك والأوساط الأكاديمية.
نشاط جديد ، نفس التكتيكات
حدد تحليل تم إجراؤه في أكتوبر 2022 لمجموعة تهديد Emotet بواسطة باحثين أمنيين في VMware أسبابًا متعددة لاستمرار قدرة المجموعة على العمل بعد الإزالة الهائلة لتطبيق القانون. وشملت هذه أكثر سلاسل تنفيذ معقدة ودقيقة، وطرق تتطور باستمرار للتشويش على تكوينها ، واستخدام بيئة صلبة للبنية التحتية C2 الخاصة بها.
يقول Muerer: "تم استخدام Emotet لتوصيل مجموعة من الحمولات الثانوية". "على الرغم من أنها كانت تقدم في الغالب عائلات برامج ضارة أخرى في الماضي ، إلا أن هناك أدلة على أن اللعبة النهائية الحالية لهؤلاء الممثلين ستركز على الأرجح على برامج الفدية".
لا يوجد شيء في نشاط Emotet الجديد يشير إلى أن مجموعة التهديد قد نشرت أي تكتيك أو أسلوب جديد ، كما يقول Muerer. يعتبر كل من تكتيك اختطاف مؤشر ترابط البريد الإلكتروني ومستندات Word التي تم تمكين الماكرو منها من التكتيكات التي يستخدمها المشغلون لبعض الوقت. وكالعادة ، يظل ناقل العدوى الأساسي هو البريد الإلكتروني العشوائي والتصيد الاحتيالي.
يقول Muerer: "لم يتغير شيء كبير ونحن على علم به". "لا يزال Emotet يمثل تهديدًا للجميع ، مع تأثير كبير بشكل غير متناسب على الشركات الصغيرة والأفراد."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/threat-intelligence/emotet-resurfaces-yet-again-after-three-month-hiatus
- :يكون
- $ UP
- 1
- 2014
- 2020
- 2021
- 2022
- 7
- a
- القدرة
- من نحن
- الأكاديمية
- أنشطة
- نشاط
- الجهات الفاعلة
- بعد
- الكل
- دائما
- تحليل
- و
- ابريل
- هي
- قادمة
- AS
- أسوشيتد
- At
- الكتاب
- سيئة
- البنوك والمصارف
- BE
- ما بين
- الأعمال
- by
- CAN
- انقر
- متعاون
- آت
- تماما
- تتألف
- أجهزة الكمبيوتر
- الاعداد
- باستمرار
- تحتوي على
- محتوى
- كونتي
- واصل
- استمرار
- المحادثات
- دولة
- حالياًّ
- حاليا
- البيانات
- نقل
- تقديم
- يسلم
- التوصيل
- القسم
- وزارة العدل
- نشر
- وصف
- محدد
- كشف
- مختلف
- وثيقة
- وثائق
- بإمكانك تحميله
- التنزيلات
- كل
- في وقت مبكر
- البريد الإلكتروني
- رسائل البريد الإلكتروني
- جزءا لا يتجزأ من
- تمكين
- تمكين
- نقطة النهاية
- تطبيق
- مهندس
- البيئة
- عصر
- كل شخص
- دليل
- المتطورة
- ينفذ
- القائمة
- تتوقع
- خارجي
- الأسر
- قم بتقديم
- ملفات
- مالي
- البيانات المالية
- الاسم الأول
- ركز
- في حالة
- جديد
- تبدأ من
- دولار فقط واحصل على خصم XNUMX% على جميع
- حكومة
- تجمع
- يملك
- الرعاية الصحية
- مرتفع
- جدا
- HTTPS
- محدد
- التأثير
- in
- شامل
- الأفراد
- البنية التحتية
- تركيب
- مثل
- IT
- تكرير
- انها
- يناير
- ٢٨
- JPG
- الاجتماعية
- مختبر
- هبوط
- كبير
- آخر
- القانون
- تطبيق القانون
- على الأرجح
- وصلات
- القليل
- محليا
- مربح
- آلة
- الماكرو
- رائد
- البرمجيات الخبيثة
- مارس
- هائل
- رسائل
- طرق
- مليون
- موضة
- المقبلة.
- الأكثر من ذلك
- متعدد
- جديد
- وأشار
- شهر اكتوبر
- of
- Office
- on
- جاكيت
- افتتح
- طريقة التوسع
- عملية
- مشغلي
- المنظمات
- أخرى
- الكلي
- سلام
- الماضي
- التصيد
- اختيار
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- منشور
- في الغالب
- المفضل
- ابتدائي
- نطاق
- الفدية
- RE
- الأسباب
- الأخيرة
- المستفيدين
- بقي
- بقايا
- بحث
- الباحثين
- استجابة
- تشغيل
- ريوك
- s
- قال
- نفسه
- يقول
- تفحص
- ثانوي
- أمن
- رؤية
- كبير
- مستقل
- منذ
- الموقع
- المواقع
- المقاس
- الأحجام
- بطيء
- صغير
- الشركات الصغيرة
- تسلل
- So
- بعض
- متطور
- البريد المزعج
- قلة النوم
- سلالات
- هذه
- وتقترح
- نظام
- التكتيكات
- أن
- •
- من مشاركة
- تشبه
- هذا الأسبوع
- التهديد
- الجهات التهديد
- التهديدات
- ثلاثة
- الوقت
- إلى
- أدوات
- حصان طروادة
- الثقة
- منعطف أو دور
- تحول
- تحول
- تستخدم
- مستخدم
- المستخدمين
- المثالية
- الباعة
- الإصدار
- بواسطة
- ضحية
- ضحايا
- في إم وير
- حجم
- أسبوع
- حسن
- التي
- في حين
- من الذى
- سوف
- مع
- كلمة
- في جميع أنحاء العالم
- سنوات
- زفيرنت
- الرمز البريدي