כמו הפרוטה הרעה הפתגמית שממשיכה להופיע כל הזמן, פעולת התוכנה הזדונית של Emotet צצה שוב - הפעם לאחר רגיעה של כשלושה חודשים.
חוקרי אבטחה השבוע ציינו כי הקבוצה שוב מהווה איום על ארגונים בכל מקום, כאשר פעילות דוא"ל זדונית הקשורה ל-Emotet מתחדשת בתחילת ה-7 במרץ. האימיילים הגיעו לתיבות הדואר הנכנס של הקורבנות כתשובות תמימות למראה שיחות דוא"ל ולשרשורים קיימים. , כך שהנמענים נוטים יותר לסמוך על התוכן שלהם. חלק מהודעות האימייל של Emotet נחתו גם כהודעות חדשות.
קובץ ומטען גדול מאוד
המיילים מכילים קובץ מצורף .zip, אשר, כאשר הוא נפתח, מספק מסמך Word המנחה את המשתמש להפעיל מאקרו זדוני. אם מופעל, המאקרו, בתורו, מוריד גרסה חדשה של Emotet מאתר חיצוני ומבצע אותה באופן מקומי במכונה.
חוקרים מ-Cofense ו-Hornet Security שצפו בפעילות הזדונית הטרייה תיארו את מסמכי Word ואת המטען הזדוני כמנפחים ומגיעים ליותר מ-500MB כל אחד. בסך הכל, נפח הפעילות נותר ללא שינוי מאז תחילת ה-7 במרץ, וכל המיילים היו ספאם מבוסס קבצים מצורפים, אמרו החוקרים.
"מסמכי Office הזדוני וקובצי ה-DLL של Emotet שאנו רואים הם קבצים גדולים מאוד", אומר ג'ייסון מורר, מהנדס מחקר בכיר ב-Cofense. "עדיין לא צפינו בקשר עם המיילים."
Hornet Security ייחס את הקבצים הגדולים ואת גדלי המטען כניסיון סביר של הקבוצה לנסות ולהגניב את הכלים של תוכנות זדוניות לזיהוי ותגובה (EDR). "האיטרציה האחרונה של Emotet משתמשת בקבצים גדולים מאוד כדי לעקוף סריקות אבטחה שסורקות רק את הבייטים הראשונים של קבצים גדולים או מדלגים לחלוטין על קבצים גדולים." על פי פוסט של חוקרי הורנט. "המופע החדש הזה פועל כרגע בקצב איטי, אבל מעבדת האבטחה שלנו מצפה שהוא יתגבר."
תוכנה זדונית שמסרבת למות
Emotet הוא איום תוכנה זדונית שהופיע לראשונה כטרויאני בנקאי בשנת 2014. במהלך השנים, מחבריו - במעקב אחר כמו Mealbug, Mummy Spider ו-TA542 - הפכו את הטרויאני הבנקאי לשעבר לכלי אספקת תוכנות זדוניות מתוחכם ורווחי שאיומים אחרים מאיימים עליו. שחקנים יכולים להשתמש כדי לספק מטענים זדוניים שונים. מטענים אלה כללו בשנים האחרונות זני תוכנות כופר פורה ביותר, כגון Ryuk, Conti ו-Trickbot.
המצב המועדף על שחקני האיומים להעברת Emotet היה באמצעות דואר זבל ודיוג, שנועד לגרום למשתמשים לפתוח קבצים מצורפים או ללחוץ על קישורים מוטבעים לאתרי משלוח תוכנות זדוניות. ברגע ששחקן האיום מתפשר על מערכת, Emotet משמש להורדת תוכנות זדוניות אחרות עליה לגניבת נתונים, התקנת תוכנות כופר או לפעילויות זדוניות אחרות כגון גניבת נתונים פיננסיים. תשתית הפיקוד והבקרה של Emotet (C2) כיום פועל על שני רשתות בוטים נפרדות שספקי אבטחה ייעדו לעידן 4 (E4) ועידן 5 (E5)
בתחילת 2021, פקידי אכיפת החוק ממספר מדינות שיבש את התשתית של Emotet במאמץ שיתופי גדול זה עשה מעט כדי לעצור את שחקן האיום מלהמשיך את תוכנות זדוניות כשירות שלו. בזמנו, ה הערכה של משרד המשפטים האמריקאי שהמפעילים של Emotet כללו יותר מ-1.6 מיליון מחשבים ברחבי העולם בין אפריל 2020 לינואר 2021. הקורבנות כללו ארגונים בתחום הבריאות, הממשלה, הבנקאות והאקדמיה.
פעילות חדשה, אותן טקטיקות
ניתוח אוקטובר 2022 של קבוצת האיומים Emotet על ידי חוקרי אבטחה ב-VMware זיהה סיבות מרובות ליכולתה המתמשכת של הקבוצה לפעול לאחר ההסרה המסיבית של אכיפת החוק. אלה כללו יותר שרשראות ביצוע מורכבות ועדינות, שיטות מתפתחות כל הזמן כדי לטשטש את התצורה שלה, ושימוש בסביבה מוקשחת לתשתית C2 שלה.
"Emotet שימש כדי לספק מגוון של מטענים משניים," אומר Muerer. "למרות שזה בעיקר סיפק משפחות תוכנות זדוניות אחרות בעבר, יש ראיות לכך שמשחק הקצה הנוכחי של השחקנים האלה יתמקד ככל הנראה בתוכנת כופר."
אין שום דבר בפעילות Emotet החדשה שמצביע על כך שקבוצת האיומים פרסמה טקטיקה או טכניקה חדשה כלשהי, אומר Muerer. טקטיקת חטיפת חוט הדואר האלקטרוני ומסמכי Word התומכים במאקרו הן שתיהן טקטיקות שהמפעילים משתמשים בהן כבר זמן מה. וכמו תמיד, וקטור ההדבקה העיקרי נשאר דואר זבל ודיוג.
"שום דבר משמעותי לא השתנה שאנו מודעים לו", אומר מירר. "Emotet נשאר איום על כולם, עם השפעה לא פרופורציונלית על עסקים קטנים ואנשים פרטיים."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://www.darkreading.com/threat-intelligence/emotet-resurfaces-yet-again-after-three-month-hiatus
- :הוא
- $ למעלה
- 1
- 2014
- 2020
- 2021
- 2022
- 7
- a
- יכולת
- אודות
- אקדמיה
- פעילויות
- פעילות
- שחקנים
- לאחר
- תעשיות
- תמיד
- אנליזה
- ו
- אַפּרִיל
- ARE
- המגיעים
- AS
- המשויך
- At
- מחברים
- רע
- בנקאות
- BE
- בֵּין
- עסקים
- by
- CAN
- קליק
- שיתוף פעולה
- מגיע
- לחלוטין
- מורכב
- מחשבים
- תְצוּרָה
- תמיד
- להכיל
- תוכן
- קונטי
- נמשך
- ממשיך
- שיחות
- מדינות
- נוֹכְחִי
- כיום
- נתונים
- למסור
- אספקה
- מספק
- מסירה
- מַחלָקָה
- משרד המשפטים
- פרס
- מְתוּאָר
- יעוד
- איתור
- אחר
- מסמך
- מסמכים
- להורדה
- הורדות
- כל אחד
- מוקדם
- אמייל
- מיילים
- מוטבע
- לאפשר
- מופעל
- נקודת קצה
- אַכִיפָה
- מהנדס
- סביבה
- תקופה
- כולם
- עדות
- מתפתח
- מוציאים להורג
- הוצאת להורג
- קיימים
- מצפה
- חיצוני
- משפחות
- שלח
- קבצים
- כספי
- מידע פיננסי
- ראשון
- מרוכז
- בעד
- טרי
- החל מ-
- לקבל
- ממשלה
- קְבוּצָה
- יש
- בריאות
- גָבוֹהַ
- מאוד
- HTTPS
- מזוהה
- פְּגִיעָה
- in
- כלול
- אנשים
- תשתית
- התקנה
- למשל
- IT
- איטרציה
- שֶׁלָה
- יָנוּאָר
- ינואר 2021
- jpg
- שופט
- מעבדה
- נחיתה
- גָדוֹל
- האחרון
- חוק
- אכיפת החוק
- סביר
- קישורים
- קְצָת
- באופן מקומי
- משתלם
- מכונה
- מאקרו
- גדול
- תוכנות זדוניות
- צעדה
- מסיבי
- הודעות
- שיטות
- מִילִיוֹן
- מצב
- חודשים
- יותר
- מספר
- חדש
- ציין
- אוֹקְטוֹבֶּר
- of
- Office
- on
- לפתוח
- נפתח
- להפעיל
- מבצע
- מפעילי
- ארגונים
- אחר
- מקיף
- שלום
- עבר
- דיוג
- לבחור
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- הודעה
- בעיקר
- מועדף
- יְסוֹדִי
- רכס
- ransomware
- RE
- סיבות
- לאחרונה
- נמענים
- נשאר
- שְׂרִידִים
- מחקר
- חוקרים
- תגובה
- ריצה
- Ryuk
- s
- אמר
- אותו
- אומר
- סריקה
- משני
- אבטחה
- ראות
- לחצני מצוקה לפנסיונרים
- נפרד
- since
- אתר
- אתרים
- מידה
- גדל
- להאט
- קטן
- עסקים קטנים
- להתגנב
- So
- כמה
- מתוחכם
- דואר זבל
- עצור
- זנים
- כזה
- מציע
- מערכת
- טקטיקה
- זֶה
- השמיים
- שֶׁלָהֶם
- אלה
- השבוע
- איום
- איום שחקנים
- איומים
- שְׁלוֹשָׁה
- זמן
- ל
- כלים
- טרויאני
- סומך
- תור
- הסתובב
- פנייה
- להשתמש
- משתמש
- משתמשים
- רכב
- ספקים
- גרסה
- באמצעות
- קרבן
- קורבנות
- VMware
- כֶּרֶך
- שבוע
- טוֹב
- אשר
- בזמן
- מי
- יצטרך
- עם
- Word
- עולמי
- שנים
- זפירנט
- רוכסן
