Was ist mit Emotet los? | WeLiveSecurity

Emotet ist eine seit 2014 aktive Malware-Familie, die von einer Cyberkriminalitätsgruppe namens Mealybug oder TA542 betrieben wird. Obwohl es als Banktrojaner begann, entwickelte es sich später zu einem Botnetz, das zu einer der weltweit am weitesten verbreiteten Bedrohungen wurde. Emotet verbreitet sich über Spam-E-Mails; Es kann Informationen von kompromittierten Computern herausfiltern und Malware von Drittanbietern auf diese übertragen. Emotet-Betreiber sind hinsichtlich ihrer Ziele nicht sehr wählerisch und installieren ihre Malware sowohl auf Systemen von Einzelpersonen als auch von Unternehmen und größeren Organisationen.

Im Januar 2021 war Emotet das Ziel eines Takedown als Ergebnis einer internationalen, gemeinschaftlichen Anstrengung von acht Ländern, die von Eurojust und Europol koordiniert wird. Doch trotz dieser Operation erwachte Emotet im November 2021 wieder zum Leben.

Abbildung 1. Zeitleiste interessanter Emotet-Ereignisse seit seiner Rückkehr

Spam-Kampagnen

Nach dem Comeback, gefolgt von mehreren Spam-Kampagnen Ende 2021, setzten sich diese Trends auch Anfang 2022 fort wir haben uns angemeldet mehrere Spam-Kampagnen, die von Emotet-Betreibern gestartet wurden. Zu dieser Zeit verbreitete sich Emotet hauptsächlich über bösartige Microsoft Word- und Microsoft Excel-Dokumente mit eingebetteten VBA-Makros.

Im Juli 2022 änderte Microsoft das Spiel für alle Malware-Familien wie Emotet und Qbot, die Phishing-E-Mails mit bösartigen Dokumenten als Verbreitungsmethode genutzt hatten, indem es VBA-Makros in aus dem Internet bezogenen Dokumenten deaktivierte. Diese Änderung war angekündigt von Microsoft zu Beginn des Jahres veröffentlicht und ursprünglich Anfang April bereitgestellt, das Update wurde jedoch aufgrund von Benutzerfeedback zurückgesetzt. Der endgültige Rollout erfolgte Ende Juli 2022 und wie in Abbildung 2 zu sehen ist, führte das Update zu einem deutlichen Rückgang der Emotet-Kompromittierungen; Im Sommer 2022 haben wir keine nennenswerten Aktivitäten beobachtet.

Abbildung 2. Emotet-Erkennungstrend, gleitender XNUMX-Tage-Durchschnitt

Durch die Deaktivierung des Hauptangriffsvektors von Emotet suchten die Betreiber nach neuen Wegen, um ihre Ziele zu kompromittieren. Schmierlaus begann zu experimentieren mit bösartigen LNK- und XLL-Dateien, aber als das Jahr 2022 zu Ende ging, hatten Emotet-Betreiber Schwierigkeiten, einen neuen Angriffsvektor zu finden, der genauso effektiv sein würde wie VBA-Makros. Im Jahr 2023 führten sie drei unterschiedliche Malspam-Kampagnen durch, bei denen jeweils ein leicht unterschiedlicher Eindringweg und eine andere Social-Engineering-Technik getestet wurden. Die abnehmende Größe der Angriffe und die ständigen Änderungen im Ansatz könnten jedoch darauf hindeuten, dass die Ergebnisse unzufrieden sind.

Die erste dieser drei Kampagnen fand um den 8. März herum statt^th, 2023, als das Emotet-Botnetz begann, als Rechnungen getarnte Word-Dokumente mit eingebetteten schädlichen VBA-Makros zu verteilen. Das war ziemlich seltsam, da VBA-Makros von Microsoft standardmäßig deaktiviert waren, sodass Opfer keinen eingebetteten Schadcode ausführen konnten.

In ihrer zweiten Kampagne zwischen dem 13. März^th und März 18^thOffensichtlich haben die Angreifer diese Mängel erkannt und neben der Verwendung des Antwortkettenansatzes auch von VBA-Makros auf OneNote-Dateien (ONE) mit eingebetteten VBScripts umgestellt. Wenn die Opfer die Datei öffneten, wurden sie von einer scheinbar geschützten OneNote-Seite begrüßt und aufgefordert, auf die Schaltfläche „Ansicht“ zu klicken, um den Inhalt anzuzeigen. Hinter diesem grafischen Element befand sich ein verstecktes VBScript, mit dem die Emotet-DLL heruntergeladen werden konnte.

Trotz einer OneNote-Warnung, dass diese Aktion zu schädlichen Inhalten führen könnte, neigen Benutzer aus Gewohnheit dazu, auf ähnliche Eingabeaufforderungen zu klicken, und können so den Angreifern möglicherweise ermöglichen, ihre Geräte zu kompromittieren.

Die letzte in der ESET-Telemetrie beobachtete Kampagne wurde am 20. März gestartet^th, unter Ausnutzung des bevorstehenden Fälligkeitsdatums der Einkommensteuer in den Vereinigten Staaten. Die vom Botnetz verschickten Schad-E-Mails gaben vor, vom US-Finanzamt Internal Revenue Service (IRS) zu stammen und enthielten eine angehängte Archivdatei mit dem Namen W-9 form.zip. Die enthaltene ZIP-Datei enthielt ein Word-Dokument mit einem eingebetteten bösartigen VBA-Makro, das das beabsichtigte Opfer wahrscheinlich verwenden musste ermöglichen. Neben dieser speziell auf die USA ausgerichteten Kampagne beobachteten wir auch eine parallel laufende weitere Kampagne mit eingebetteten VBScripts und OneNote-Ansatz.

Wie in Abbildung 3 zu sehen ist, richteten sich die meisten von ESET erkannten Angriffe gegen Japan (43 %) und Italien (13 %), obwohl diese Zahlen möglicherweise durch die starke ESET-Benutzerbasis in diesen Regionen verzerrt sind. Nachdem die beiden führenden Länder entfernt wurden (um sich auf den Rest der Welt zu konzentrieren), ist in Abbildung 4 zu sehen, dass auch der Rest der Welt betroffen war, wobei Spanien (5 %) an dritter Stelle steht, gefolgt von Mexiko (5). %) und Südafrika (4 %).

Abbildung 3. Emotet-Erkennungen Januar 2022 – Juni 2023

Abbildung 4. Emotet-Erkennungen Januar 2022 – Juni 2023 (JP und IT ausgenommen)

Verbesserter Schutz und Verschleierung

Nach seinem Wiederauftauchen erhielt Emotet mehrere Upgrades. Das erste bemerkenswerte Merkmal ist, dass das Botnetz sein kryptografisches Schema geändert hat. Vor der Abschaltung nutzte Emotet RSA als primäres asymmetrisches Schema und nach dem Wiederauftauchen begann das Botnetz, Elliptische-Kurven-Kryptographie zu verwenden. Derzeit verfügt jedes Downloader-Modul (auch Hauptmodul genannt) über zwei eingebettete öffentliche Schlüssel. Einer wird für das Elliptic-Curve-Diffie-Hellman-Schlüsselaustauschprotokoll und der andere für eine Signaturüberprüfung – den digitalen Signaturalgorithmus – verwendet.

Neben der Aktualisierung der Emotet-Malware auf die 64-Bit-Architektur hat Mealybug auch mehrere neue Verschleierungsmaßnahmen implementiert, um seine Module zu schützen. Die erste bemerkenswerte Verschleierung ist die Abflachung des Kontrollflusses, die die Analyse und das Auffinden interessanter Codeteile in Emotet-Modulen erheblich verlangsamen kann.

Mealybug hat auch viele Randomisierungstechniken implementiert und verbessert, von denen die Randomisierung der Reihenfolge von Strukturelementen und die Randomisierung von Anweisungen zur Berechnung von Konstanten (Konstanten werden maskiert) am bemerkenswertesten sind.

Ein weiteres erwähnenswertes Update fand im letzten Quartal 2022 statt, als Module begannen, Timer-Warteschlangen zu verwenden. Dabei wurden die Hauptfunktion von Modulen und der Kommunikationsteil von Modulen als Callback-Funktion festgelegt, die von mehreren Threads aufgerufen wird, und all dies wird mit der Abflachung des Kontrollflusses kombiniert, wobei der Statuswert verwaltet, welcher Codeblock sich befindet Der aufzurufende Thread wird von den Threads gemeinsam genutzt. Diese Verschleierung stellt ein weiteres Hindernis bei der Analyse dar und erschwert die Verfolgung des Ausführungsablaufs noch mehr.

Neue Module

Um profitabel zu bleiben und Malware weit verbreitet zu bleiben, hat Mealybug mehrere neue Module implementiert, die in Abbildung 5 gelb dargestellt sind. Einige davon wurden als Abwehrmechanismus für das Botnetz erstellt, andere für eine effizientere Verbreitung der Malware und nicht zuletzt als Modul Das stiehlt Informationen, die dazu verwendet werden können, das Geld des Opfers zu stehlen.

Abbildung 5. Die am häufigsten verwendeten Module von Emotet. Rot existierte bereits vor der Abschaffung; Gelb erschien nach dem Comeback

Thunderbird Email Stealer und Thunderbird Contact Stealer

Emotet wird über Spam-E-Mails verbreitet und die Leute vertrauen diesen E-Mails oft, weil Emotet erfolgreich eine E-Mail-Thread-Hijacking-Technik einsetzt. Vor der Abschaltung verwendete Emotet Module, die wir Outlook Contact Stealer und Outlook Email Stealer nennen und die in der Lage waren, E-Mails und Kontaktinformationen aus Outlook zu stehlen. Da jedoch nicht jeder Outlook nutzt, konzentrierte sich Emotet nach der Abschaltung auch auf eine kostenlose alternative E-Mail-Anwendung – Thunderbird.

Emotet kann auf dem kompromittierten Computer ein Thunderbird Email Stealer-Modul installieren, das (wie der Name schon sagt) in der Lage ist, E-Mails zu stehlen. Das Modul durchsucht die Thunderbird-Dateien mit empfangenen Nachrichten (im MBOX-Format) und stiehlt Daten aus mehreren Feldern, darunter Absender, Empfänger, Betreff, Datum und Inhalt der Nachricht. Alle gestohlenen Informationen werden dann zur weiteren Verarbeitung an einen C&C-Server gesendet.

Zusammen mit Thunderbird Email Stealer setzt Emotet auch einen Thunderbird Contact Stealer ein, der in der Lage ist, Kontaktinformationen von Thunderbird zu stehlen. Dieses Modul durchsucht auch die Thunderbird-Dateien, diesmal nach empfangenen und gesendeten Nachrichten. Der Unterschied besteht darin, dass dieses Modul lediglich Informationen aus dem extrahiert Ab:, Bis:, CC: und Cc: Felder und erstellt ein internes Diagramm darüber, wer mit wem kommuniziert hat, wobei Knoten Personen sind und es einen Unterschied zwischen zwei Personen gibt, wenn sie miteinander kommuniziert haben. Im nächsten Schritt ordnet das Modul die gestohlenen Kontakte – beginnend mit den am stärksten vernetzten Personen – und sendet diese Informationen an einen C&C-Server.

Ergänzt wird dieser Aufwand durch zwei zusätzliche Module (die bereits vor der Abschaltung existierten): das MailPassView Stealer-Modul und das Spammer-Modul. MailPassView Stealer missbraucht ein legitimes NirSoft-Tool zur Passwortwiederherstellung und stiehlt Anmeldeinformationen aus E-Mail-Anwendungen. Wenn gestohlene E-Mails, Zugangsdaten und Informationen darüber, wer mit wem in Kontakt steht, verarbeitet werden, erstellt Mealybug bösartige E-Mails, die wie eine Antwort auf zuvor gestohlene Konversationen aussehen, und sendet diese E-Mails zusammen mit den gestohlenen Zugangsdaten an ein Spammer-Modul, das diese Zugangsdaten zum Senden verwendet böswillige Antworten auf frühere E-Mail-Konversationen über SMTP.

Google Chrome-Kreditkartendiebstahl

Wie der Name schon sagt, stiehlt Google Chrome Credit Card Stealer Informationen über Kreditkarten, die im Google Chrome-Browser gespeichert sind. Um dies zu erreichen, verwendet das Modul eine statisch verknüpfte SQLite3-Bibliothek für den Zugriff auf die Webdaten-Datenbankdatei, die sich normalerweise in befindet %LOCALAPPDATA%GoogleChromeUser DataDefaultWeb Data. Das Modul fragt die Tabelle ab Kreditkarten für name_of_card, Monat des Ablaufens, Ablaufjahr und Kartennummer_verschlüsselt, mit Informationen zu Kreditkarten, die im Standardprofil von Google Chrome gespeichert sind. Im letzten Schritt wird der Wert „card_number_encrypted“ mithilfe des im gespeicherten Schlüssels entschlüsselt %LOCALAPPDATA%GoogleChromeUser DataLocal State-Datei und alle Informationen werden an einen C&C-Server gesendet.

Systeminfo- und Hardwareinfo-Module

Kurz nach der Rückkehr von Emotet erschien im November 2021 ein neues Modul, das wir Systeminfo nennen. Dieses Modul sammelt Informationen über ein kompromittiertes System und sendet sie an den C&C-Server. Die gesammelten Informationen bestehen aus:

• Ausgabe der systeminfo Befehl
• Ausgabe der ipconfig / all Befehl
• Ausgabe der nltest /dclist: Befehl (im Okt. 2022 entfernt)
• Prozessliste
• Betriebszeit (abgerufen über GetTickCount) in Sekunden (entfernt im Okt. 2022)

In Oktober 2022 Die Betreiber von Emotet haben ein weiteres neues Modul veröffentlicht, das wir Hardwareinfo nennen. Auch wenn es nicht ausschließlich Informationen über die Hardware einer kompromittierten Maschine stiehlt, dient es als ergänzende Informationsquelle zum Systeminfo-Modul. Dieses Modul sammelt die folgenden Daten von der kompromittierten Maschine:

• Computername
• Benutzername
• Informationen zur Betriebssystemversion, einschließlich Haupt- und Nebenversionsnummern
• Session ID
• CPU-Markenzeichenfolge
• Informationen zur RAM-Größe und -Nutzung

Beide Module haben einen Hauptzweck: Überprüfen, ob die Kommunikation von einem rechtmäßig kompromittierten Opfer stammt oder nicht. Emotet war, insbesondere nach seinem Comeback, ein wirklich heißes Thema in der Computersicherheitsbranche und unter Forschern, weshalb Mealybug große Anstrengungen unternahm, um sich vor der Verfolgung und Überwachung ihrer Aktivitäten zu schützen. Dank der von diesen beiden Modulen gesammelten Informationen, die nicht nur Daten sammeln, sondern auch Anti-Tracking- und Anti-Analyse-Tricks enthalten, wurden die Fähigkeiten von Mealybug, echte Opfer von den Aktivitäten oder Sandboxen von Malware-Forschern zu unterscheiden, erheblich verbessert.

Was kommt als nächstes?

Nach Recherchen und Telemetriedaten von ESET herrscht seit Anfang April 2023 Ruhe in beiden Epochen des Botnetzes. Derzeit bleibt unklar, ob dies für die Autoren eine weitere Urlaubszeit ist, ob sie Schwierigkeiten haben, einen neuen wirksamen Infektionsvektor zu finden, oder ob Es gibt jemanden, der das Botnetz betreibt.

Auch wenn wir die Gerüchte, dass eine oder beide Epochen des Botnetzes im Januar 2023 an jemanden verkauft wurden, nicht bestätigen können, haben wir eine ungewöhnliche Aktivität auf einer der Epochen festgestellt. Das neueste Update des Downloader-Moduls enthielt eine neue Funktionalität, die die inneren Zustände des Moduls protokolliert und seine Ausführung in einer Datei verfolgt C:JSmithLoader (Abbildung 6, Abbildung 7). Da diese Datei vorhanden sein muss, um tatsächlich etwas zu protokollieren, sieht diese Funktionalität wie eine Debugging-Ausgabe für jemanden aus, der nicht vollständig versteht, was das Modul tut und wie es funktioniert. Darüber hinaus verbreitete das Botnetz zu dieser Zeit auch Spammer-Module, die für Mealybug als wertvoller gelten, da sie diese Module in der Vergangenheit nur auf Maschinen verwendeten, die sie für sicher hielten.

Abbildung 6. Protokollierung des Verhaltens des Downloader-Moduls

Abbildung 7. Protokollierung des Verhaltens des Downloader-Moduls

Welche Erklärung auch immer zutrifft, warum das Botnetz jetzt still ist, Emotet ist für seine Effektivität bekannt und seine Betreiber haben sich Mühe gegeben, das Botnetz neu aufzubauen und zu warten und sogar einige Verbesserungen hinzuzufügen. Bleiben Sie also mit unserem Blog auf dem Laufenden, um zu sehen, was die Zukunft bringen wird uns.

IoCs

Mappen

Netzwerk

MITRE ATT&CK-Techniken

Diese Tabelle wurde mit erstellt Version 12 der MITRE ATT&CK Unternehmenstechniken.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
• Quelle: https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet/