عملیات بدافزار Emotet مانند پنی بد ضرب المثلی که مدام در حال افزایش است، دوباره ظاهر شده است - این بار پس از حدود سه ماه استراحت.
محققان امنیتی در این هفته خاطرنشان کردند که این گروه بار دیگر تهدیدی را برای سازمانها در همه جا ایجاد میکند، با فعالیت ایمیل مخرب مرتبط با Emotet در اوایل 7 مارس از سر گرفته شد. ، بنابراین گیرندگان به محتوای آنها اعتماد بیشتری دارند. برخی از ایمیلهای Emotet نیز به عنوان پیامهای جدید ارسال میشوند.
فایل و بار بسیار بزرگ
ایمیل ها حاوی یک پیوست .zip هستند که پس از باز شدن، یک سند Word ارائه می کند که از کاربر می خواهد یک ماکرو مخرب را فعال کند. اگر فعال باشد، ماکرو نیز به نوبه خود نسخه جدیدی از Emotet را از یک سایت خارجی دانلود کرده و آن را به صورت محلی در دستگاه اجرا می کند.
محققان از Cofense و هورنت سکیوریتی که فعالیت مخرب جدیدی را مشاهده کردند، اسناد Word و محموله های مخرب را با حجم زیاد و بیش از 500 مگابایت توصیف کردند. به گفته محققان، به طور کلی، حجم فعالیت ها از اوایل 7 مارس بدون تغییر باقی مانده است و همه ایمیل ها هرزنامه مبتنی بر پیوست بوده اند.
جیسون مورر، مهندس ارشد تحقیقاتی در Cofense میگوید: «اسناد مخرب Office و DLLهای Emotet که میبینیم فایلهای بسیار بزرگی هستند. ما هنوز هیچ پیوندی با ایمیلها مشاهده نکردهایم.»
هورنت سکیوریتی حجم فایل و محموله بزرگ را به عنوان تلاشی احتمالی از سوی این گروه برای تلاش برای پنهان کردن بدافزار از ابزارهای تشخیص نقطه پایانی و پاسخ (EDR) نسبت داد. "آخرین تکرار Emotet از فایل های بسیار بزرگ برای دور زدن اسکن های امنیتی استفاده می کند که فقط اولین بایت های فایل های بزرگ را اسکن می کنند یا فایل های بزرگ را به طور کامل رد می کنند." طبق پست محققان هورنت. "این نمونه جدید در حال حاضر با سرعت آهسته در حال اجرا است، اما آزمایشگاه امنیتی ما انتظار دارد که شروع به کار کند."
بدافزاری که از مردن خودداری می کند
Emotet یک تهدید بدافزار است که برای اولین بار به عنوان یک تروجان بانکی در سال 2014 ظاهر شد. در طول سال ها، نویسندگان آن - با نام های Mealbug، Mummy Spider و TA542 ردیابی می شوند - تروجان بانکی قبلی را به یک وسیله نقلیه تحویل بدافزار پیچیده و پرسود تبدیل کرده اند که تهدیدهای دیگر را تهدید می کند. بازیگران می توانند برای تحویل بارهای مخرب مختلف استفاده کنند. این محمولهها در سالهای اخیر شامل گونههای باجافزار بسیار پرکار، مانند Ryuk، Conti و Trickbot بودهاند.
حالت ترجیحی بازیگران تهدید برای ارائه Emotet از طریق ایمیلهای هرزنامه و فیشینگ بوده است که برای وادار کردن کاربران به باز کردن فایلهای پیوست یا کلیک کردن روی پیوندهای تعبیهشده به سایتهای ارسال بدافزار ساخته شده است. هنگامی که عامل تهدید یک سیستم را در معرض خطر قرار می دهد، Emotet برای دانلود بدافزارهای دیگر روی آن برای سرقت داده ها، نصب باج افزار یا سایر فعالیت های مخرب مانند سرقت داده های مالی استفاده می شود. زیرساخت فرمان و کنترل Emotet (C2) در حال حاضر روی دو بات نت مجزا اجرا می شود که فروشندگان امنیتی به عنوان دوره 4 (E4) و دوره 5 (E5) تعیین کرده اند.
در اوایل سال 2021، مقامات اجرای قانون از چندین کشور زیرساخت Emotet را در یک تلاش مشترک بزرگ مختل کرد که برای متوقف کردن عامل تهدید از ادامه بدافزار به عنوان یک سرویس کار چندانی انجام نداده است. در آن زمان، وزارت دادگستری آمریکا ارزیابی کرد اپراتورهای Emotet از آوریل 1.6 تا ژانویه 2020 بیش از 2021 میلیون رایانه در سراسر جهان تشکیل می دادند. قربانیان شامل سازمان هایی در بخش مراقبت های بهداشتی، دولتی، بانکداری و دانشگاه بودند.
فعالیت جدید، تاکتیک های مشابه
تجزیه و تحلیل اکتبر 2022 از گروه تهدید Emotet توسط محققان امنیتی در VMware دلایل متعددی را برای ادامه توانایی این گروه پس از حذف گسترده اجرای قانون شناسایی کرد. این موارد بیشتر را شامل می شد زنجیره های اجرایی پیچیده و ظریف، روش هایی را به طور مداوم در حال تغییر برای مبهم کردن پیکربندی آن و استفاده از یک محیط سخت برای زیرساخت C2 خود است.
Muerer میگوید: «Emotet برای تحویل طیفی از محمولههای ثانویه استفاده شده است. «در حالی که در گذشته عمدتاً خانوادههای بدافزار دیگری را ارائه میکرد، شواهدی وجود دارد که نشان میدهد آخرین بازی فعلی این بازیگران احتمالاً روی باجافزار متمرکز خواهد بود.»
مورر می گوید، هیچ چیزی در مورد فعالیت جدید Emotet وجود ندارد که نشان دهد این گروه تهدید تاکتیک یا تکنیک جدیدی را به کار گرفته است. تاکتیک ربودن تاپیک ایمیل و اسناد Word با قابلیت ماکرو هر دو تاکتیک هایی هستند که اپراتورها برای مدتی از آنها استفاده می کنند. و مانند همیشه، ناقل آلودگی اولیه ایمیل های هرزنامه و فیشینگ باقی می ماند.
مورر می گوید: «هیچ چیز مهمی تغییر نکرده است که ما از آن آگاه باشیم. Emotet همچنان یک تهدید برای همه است و تأثیر نامتناسبی بر مشاغل کوچک و افراد دارد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/threat-intelligence/emotet-resurfaces-yet-again-after-three-month-hiatus
- :است
- $UP
- 1
- 2014
- 2020
- 2021
- 2022
- 7
- a
- توانایی
- درباره ما
- آکادمی
- فعالیت ها
- فعالیت
- بازیگران
- پس از
- معرفی
- همیشه
- تحلیل
- و
- آوریل
- هستند
- رسیدن
- AS
- مرتبط است
- At
- نویسندگان
- بد
- بانکداری
- BE
- میان
- کسب و کار
- by
- CAN
- کلیک
- مشترک
- آینده
- به طور کامل
- شامل
- کامپیوتر
- پیکر بندی
- به طور مداوم
- شامل
- محتوا
- کنتی
- ادامه داد:
- مداوم
- گفتگو
- کشور
- جاری
- در حال حاضر
- داده ها
- ارائه
- تحویل
- ارائه
- تحویل
- بخش
- وزارت دادگستری
- مستقر
- شرح داده شده
- تعیین شده
- کشف
- مختلف
- سند
- اسناد و مدارک
- دانلود
- دانلود
- هر
- در اوایل
- پست الکترونیک
- ایمیل
- جاسازی شده
- قادر ساختن
- فعال
- نقطه پایانی
- اجرای
- مهندس
- محیط
- دوره
- هر کس
- مدرک
- در حال تحول
- اجرا می کند
- اعدام
- موجود
- انتظار می رود
- خارجی
- خانواده
- پرونده
- فایل ها
- مالی
- اطلاعات مالی
- نام خانوادگی
- متمرکز شده است
- برای
- تازه
- از جانب
- دریافت کنید
- دولت
- گروه
- آیا
- بهداشت و درمان
- زیاد
- خیلی
- HTTPS
- شناسایی
- تأثیر
- in
- مشمول
- افراد
- شالوده
- نصب کردن
- نمونه
- IT
- تکرار
- ITS
- ژانویه
- ژانویه 2021
- JPG
- عدالت
- آزمایشگاه
- فرود
- بزرگ
- آخرین
- قانون
- اجرای قانون
- احتمالا
- لینک ها
- کوچک
- به صورت محلی
- نافع
- دستگاه
- درشت دستور
- عمده
- نرم افزارهای مخرب
- مارس
- عظیم
- پیام
- روش
- میلیون
- حالت
- ماه
- بیش
- چندگانه
- جدید
- اشاره کرد
- اکتبر
- of
- دفتر
- on
- باز کن
- باز
- کار
- عمل
- اپراتور
- سازمان های
- دیگر
- به طور کلی
- سرعت
- گذشته
- فیشینگ
- انتخاب کنید
- افلاطون
- هوش داده افلاطون
- PlatoData
- پست
- غالباً
- مرجح
- اصلی
- محدوده
- باجافزار
- RE
- دلایل
- اخیر
- گیرندگان
- باقی مانده است
- بقایای
- تحقیق
- محققان
- پاسخ
- در حال اجرا
- ریوک
- s
- سعید
- همان
- می گوید:
- اسکن
- ثانوی
- تیم امنیت لاتاری
- مشاهده
- ارشد
- جداگانه
- پس از
- سایت
- سایت
- اندازه
- اندازه
- کند
- کوچک
- کسب و کارهای کوچک
- دزدکی حرکت کردن
- So
- برخی از
- مصنوعی
- اسپم
- توقف
- فشارها
- چنین
- حاکی از
- سیستم
- تاکتیک
- که
- La
- شان
- اینها
- این هفته
- تهدید
- بازیگران تهدید
- تهدید
- سه
- زمان
- به
- ابزار
- تروجان
- اعتماد
- دور زدن
- تبدیل
- عطف
- استفاده کنید
- کاربر
- کاربران
- وسیله نقلیه
- فروشندگان
- نسخه
- از طريق
- قربانی
- قربانیان
- آموزش VMware
- حجم
- هفته
- خوب
- که
- در حین
- WHO
- اراده
- با
- کلمه
- در سرتاسر جهان
- سال
- زفیرنت
- زیپ