Emotet پس از 3 ماه وقفه دوباره ظاهر شد

عملیات بدافزار Emotet مانند پنی بد ضرب المثلی که مدام در حال افزایش است، دوباره ظاهر شده است - این بار پس از حدود سه ماه استراحت.

محققان امنیتی در این هفته خاطرنشان کردند که این گروه بار دیگر تهدیدی را برای سازمان‌ها در همه جا ایجاد می‌کند، با فعالیت ایمیل مخرب مرتبط با Emotet در اوایل 7 مارس از سر گرفته شد. ، بنابراین گیرندگان به محتوای آنها اعتماد بیشتری دارند. برخی از ایمیل‌های Emotet نیز به عنوان پیام‌های جدید ارسال می‌شوند.

فایل و بار بسیار بزرگ

ایمیل ها حاوی یک پیوست .zip هستند که پس از باز شدن، یک سند Word ارائه می کند که از کاربر می خواهد یک ماکرو مخرب را فعال کند. اگر فعال باشد، ماکرو نیز به نوبه خود نسخه جدیدی از Emotet را از یک سایت خارجی دانلود کرده و آن را به صورت محلی در دستگاه اجرا می کند.

محققان از Cofense و هورنت سکیوریتی که فعالیت مخرب جدیدی را مشاهده کردند، اسناد Word و محموله های مخرب را با حجم زیاد و بیش از 500 مگابایت توصیف کردند. به گفته محققان، به طور کلی، حجم فعالیت ها از اوایل 7 مارس بدون تغییر باقی مانده است و همه ایمیل ها هرزنامه مبتنی بر پیوست بوده اند.

جیسون مورر، مهندس ارشد تحقیقاتی در Cofense می‌گوید: «اسناد مخرب Office و DLL‌های Emotet که می‌بینیم فایل‌های بسیار بزرگی هستند. ما هنوز هیچ پیوندی با ایمیل‌ها مشاهده نکرده‌ایم.»

هورنت سکیوریتی حجم فایل و محموله بزرگ را به عنوان تلاشی احتمالی از سوی این گروه برای تلاش برای پنهان کردن بدافزار از ابزارهای تشخیص نقطه پایانی و پاسخ (EDR) نسبت داد. "آخرین تکرار Emotet از فایل های بسیار بزرگ برای دور زدن اسکن های امنیتی استفاده می کند که فقط اولین بایت های فایل های بزرگ را اسکن می کنند یا فایل های بزرگ را به طور کامل رد می کنند." طبق پست محققان هورنت. "این نمونه جدید در حال حاضر با سرعت آهسته در حال اجرا است، اما آزمایشگاه امنیتی ما انتظار دارد که شروع به کار کند."

بدافزاری که از مردن خودداری می کند

Emotet یک تهدید بدافزار است که برای اولین بار به عنوان یک تروجان بانکی در سال 2014 ظاهر شد. در طول سال ها، نویسندگان آن - با نام های Mealbug، Mummy Spider و TA542 ردیابی می شوند - تروجان بانکی قبلی را به یک وسیله نقلیه تحویل بدافزار پیچیده و پرسود تبدیل کرده اند که تهدیدهای دیگر را تهدید می کند. بازیگران می توانند برای تحویل بارهای مخرب مختلف استفاده کنند. این محموله‌ها در سال‌های اخیر شامل گونه‌های باج‌افزار بسیار پرکار، مانند Ryuk، Conti و Trickbot بوده‌اند.

حالت ترجیحی بازیگران تهدید برای ارائه Emotet از طریق ایمیل‌های هرزنامه و فیشینگ بوده است که برای وادار کردن کاربران به باز کردن فایل‌های پیوست یا کلیک کردن روی پیوندهای تعبیه‌شده به سایت‌های ارسال بدافزار ساخته شده است. هنگامی که عامل تهدید یک سیستم را در معرض خطر قرار می دهد، Emotet برای دانلود بدافزارهای دیگر روی آن برای سرقت داده ها، نصب باج افزار یا سایر فعالیت های مخرب مانند سرقت داده های مالی استفاده می شود. زیرساخت فرمان و کنترل Emotet (C2) در حال حاضر روی دو بات نت مجزا اجرا می شود که فروشندگان امنیتی به عنوان دوره 4 (E4) و دوره 5 (E5) تعیین کرده اند.

در اوایل سال 2021، مقامات اجرای قانون از چندین کشور زیرساخت Emotet را در یک تلاش مشترک بزرگ مختل کرد که برای متوقف کردن عامل تهدید از ادامه بدافزار به عنوان یک سرویس کار چندانی انجام نداده است. در آن زمان، وزارت دادگستری آمریکا ارزیابی کرد اپراتورهای Emotet از آوریل 1.6 تا ژانویه 2020 بیش از 2021 میلیون رایانه در سراسر جهان تشکیل می دادند. قربانیان شامل سازمان هایی در بخش مراقبت های بهداشتی، دولتی، بانکداری و دانشگاه بودند.

فعالیت جدید، تاکتیک های مشابه

تجزیه و تحلیل اکتبر 2022 از گروه تهدید Emotet توسط محققان امنیتی در VMware دلایل متعددی را برای ادامه توانایی این گروه پس از حذف گسترده اجرای قانون شناسایی کرد. این موارد بیشتر را شامل می شد زنجیره های اجرایی پیچیده و ظریف، روش هایی را به طور مداوم در حال تغییر برای مبهم کردن پیکربندی آن و استفاده از یک محیط سخت برای زیرساخت C2 خود است.

Muerer می‌گوید: «Emotet برای تحویل طیفی از محموله‌های ثانویه استفاده شده است. «در حالی که در گذشته عمدتاً خانواده‌های بدافزار دیگری را ارائه می‌کرد، شواهدی وجود دارد که نشان می‌دهد آخرین بازی فعلی این بازیگران احتمالاً روی باج‌افزار متمرکز خواهد بود.»

مورر می گوید، هیچ چیزی در مورد فعالیت جدید Emotet وجود ندارد که نشان دهد این گروه تهدید تاکتیک یا تکنیک جدیدی را به کار گرفته است. تاکتیک ربودن تاپیک ایمیل و اسناد Word با قابلیت ماکرو هر دو تاکتیک هایی هستند که اپراتورها برای مدتی از آنها استفاده می کنند. و مانند همیشه، ناقل آلودگی اولیه ایمیل های هرزنامه و فیشینگ باقی می ماند.

مورر می گوید: «هیچ چیز مهمی تغییر نکرده است که ما از آن آگاه باشیم. Emotet همچنان یک تهدید برای همه است و تأثیر نامتناسبی بر مشاغل کوچک و افراد دارد.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://www.darkreading.com/threat-intelligence/emotet-resurfaces-yet-again-after-three-month-hiatus