Что случилось с Эмотетом? | WeLiveSecurity

Emotet — это семейство вредоносных программ, активное с 2014 года, которым управляет группа киберпреступников, известная как Mealybug или TA542. Хотя он начинался как банковский троян, позже он превратился в ботнет, который стал одной из самых распространенных угроз во всем мире. Emotet распространяется через спам-письма; он может извлекать информацию из взломанных компьютеров и доставлять на них сторонние вредоносные программы. Операторы Emotet не очень разборчивы в своих целях, устанавливая свои вредоносные программы на системы, принадлежащие как частным лицам, так и компаниям и более крупным организациям.

В январе 2021 года Emotet стал мишенью демонтаж в результате международных совместных усилий восьми стран, координируемых Евроюстом и Европолом. Однако, несмотря на эту операцию, Эмотет вернулся к жизни в ноябре 2021 года.

Рисунок 1. Хронология интересных событий Emotet с момента его возвращения

Спам-кампании

После возвращения, за которым последовали многочисленные спам-кампании в конце 2021 года, в начале 2022 года эти тенденции продолжились. мы зарегистрировались несколько спам-кампаний, запущенных операторами Emotet. В это время Emotet распространялся в основном через вредоносные документы Microsoft Word и Microsoft Excel со встроенными макросами VBA.

В июле 2022 года Microsoft изменила правила игры для всех семейств вредоносных программ, таких как Emotet и Qbot, которые использовали фишинговые электронные письма с вредоносным документом в качестве метода распространения, отключив макросы VBA в документах, полученных из Интернета. Это изменение было объявило компанией Microsoft в начале года и первоначально развернутой в начале апреля, но обновление было отменено из-за отзывов пользователей. Окончательное развертывание произошло в конце июля 2022 года, и, как видно на рис. 2, обновление привело к значительному сокращению компрометации Emotet; мы не наблюдали какой-либо значительной активности летом 2022 года.

Рисунок 2. Тенденция обнаружения Emotet, скользящая средняя за семь дней

Отключение основного вектора атаки Emotet заставило его операторов искать новые способы компрометации своих целей. мучнистый червец начал экспериментировать с вредоносными файлами LNK и XLL, но когда 2022 год подходил к концу, операторы Emotet изо всех сил пытались найти новый вектор атаки, который был бы столь же эффективен, как макросы VBA. В 2023 году они провели три самостоятельных кампании по борьбе с вредоносным спамом, каждая из которых проверяла немного отличающийся способ вторжения и метод социальной инженерии. Однако сокращение масштабов атак и постоянные изменения в подходе могут свидетельствовать о неудовлетворенности результатами.

Первая из этих трех кампаний произошла примерно 8 марта.^th, 2023 г., когда ботнет Emotet начал распространять документы Word, замаскированные под счета, со встроенными вредоносными макросами VBA. Это было довольно странно, потому что макросы VBA были отключены Microsoft по умолчанию, поэтому жертвы не могли запускать встроенный вредоносный код.

Во время своей второй кампании между 13 марта^th и 18 марта^th, злоумышленники, по-видимому, признали эти недостатки и, помимо использования подхода цепочки ответов, также переключились с макросов VBA на файлы OneNote (ONE) со встроенными сценариями VBScript. Если жертвы открывали файл, их встречало то, что выглядело как защищенная страница OneNote, с просьбой нажать кнопку «Просмотр», чтобы увидеть содержимое. За этим графическим элементом скрывался VBScript, настроенный на загрузку DLL Emotet.

Несмотря на предупреждение OneNote о том, что это действие может привести к вредоносному контенту, люди, как правило, по привычке нажимают на подобные подсказки и, таким образом, потенциально могут позволить злоумышленникам скомпрометировать их устройства.

Последняя кампания, наблюдаемая в телеметрии ESET, была запущена 20 марта.^th, воспользовавшись приближающейся датой уплаты подоходного налога в США. Вредоносные электронные письма, отправляемые ботнетом, якобы исходили от Налоговой службы США (IRS) и содержали вложенный архивный файл с именем W-9 form.zip. Прилагаемый ZIP-файл содержал документ Word со встроенным вредоносным макросом VBA, который предполагаемая жертва, вероятно, должна была использовать. включить. Помимо этой кампании, нацеленной конкретно на США, мы также наблюдали за другой кампанией с использованием встроенных сценариев VBScript и подхода OneNote, которая проводилась в то же время.

Как видно на рисунке 3, большинство атак, обнаруженных ESET, были направлены на Японию (43%), Италию (13%), хотя эти цифры могут быть необъективными из-за большой базы пользователей ESET в этих регионах. После удаления этих двух ведущих стран (чтобы сосредоточиться на остальном мире) на рисунке 4 видно, что остальной мир также пострадал: Испания (5%) на третьем месте, за ней следует Мексика (5%). %) и ЮАР (4%).

Рисунок 3. Обнаружения Emotet с января 2022 г. по июнь 2023 г.

Рисунок 4. Обнаружения Emotet с января 2022 г. по июнь 2023 г. (исключая Японию и ИТ)

Улучшенная защита и обфускация

После своего повторного появления Emotet получил несколько обновлений. Первая примечательная особенность заключается в том, что ботнет сменил свою криптографическую схему. До удаления Emotet использовал RSA в качестве основной асимметричной схемы, а после повторного появления ботнет начал использовать криптографию на основе эллиптических кривых. В настоящее время каждый модуль Downloader (также называемый основным модулем) поставляется с двумя встроенными открытыми ключами. Один используется для протокола обмена ключами Диффи-Хеллмана на эллиптических кривых, а другой используется для проверки подписи — алгоритма цифровой подписи.

Помимо обновления вредоносного ПО Emotet до 64-битной архитектуры, Mealybug также реализовала несколько новых обфускаций для защиты своих модулей. Первая заметная запутанность — это выравнивание потока управления, которое может значительно замедлить анализ и поиск интересных частей кода в модулях Emotet.

Mealybug также реализовал и улучшил реализацию многих методов рандомизации, наиболее заметными из которых являются рандомизация порядка элементов структуры и рандомизация инструкций, вычисляющих константы (константы маскируются).

Еще одно обновление, о котором стоит упомянуть, произошло в последнем квартале 2022 года, когда модули начали использовать очереди таймеров. При этом основная функция модулей и коммуникационная часть модулей были установлены как функция обратного вызова, которая вызывается несколькими потоками, и все это сочетается с выравниванием потока управления, где значение состояния, которое управляет тем, какой блок кода который должен быть вызван, распределяется между потоками. Эта запутанность создает еще одно препятствие для анализа и еще более затрудняет отслеживание потока выполнения.

Новые модули

Чтобы оставаться прибыльным и распространенным вредоносным ПО, Mealybug внедрил несколько новых модулей, показанных желтым цветом на рис. 5. Некоторые из них были созданы в качестве защитного механизма для ботнета, другие — для более эффективного распространения вредоносного ПО, который крадет информацию, которая может быть использована для кражи денег жертвы.

Рисунок 5. Наиболее часто используемые модули Emotet. Красный существовал до тейкдауна; желтый появился после камбэка

Похититель электронной почты Thunderbird и похититель контактов Thunderbird

Emotet распространяется через спам-письма, и люди часто доверяют этим письмам, потому что Emotet успешно использует технику захвата потока электронной почты. Перед удалением Emotet использовал модули, которые мы называем Outlook Contact Stealer и Outlook Email Stealer, которые были способны красть электронные письма и контактную информацию из Outlook. Но поскольку не все используют Outlook, после закрытия Emotet сосредоточился также на бесплатном альтернативном почтовом приложении — Thunderbird.

Emotet может развернуть на скомпрометированном компьютере модуль Thunderbird Email Stealer, который (как следует из названия) способен красть электронные письма. Модуль выполняет поиск в файлах Thunderbird, содержащих полученные сообщения (в формате MBOX), и крадет данные из нескольких полей, включая отправителя, получателей, тему, дату и содержимое сообщения. Затем вся украденная информация отправляется на C&C-сервер для дальнейшей обработки.

Вместе с Thunderbird Email Stealer Emotet также развертывает Thunderbird Contact Stealer, который способен украсть контактную информацию из Thunderbird. Этот модуль также выполняет поиск в файлах Thunderbird, на этот раз ищет как полученные, так и отправленные сообщения. Разница в том, что этот модуль просто извлекает информацию из От:, В:, CC: и Cc: полей и создает внутренний граф того, кто с кем общался, где узлы — это люди, и между двумя людьми есть ребро, если они общались друг с другом. На следующем этапе модуль упорядочивает украденные контакты, начиная с наиболее взаимосвязанных людей, и отправляет эту информацию на C&C-сервер.

Все эти усилия дополняются двумя дополнительными модулями (которые существовали уже до удаления) — модулем MailPassView Stealer и модулем Spammer. MailPassView Stealer использует законный инструмент NirSoft для восстановления пароля и крадет учетные данные из почтовых приложений. Когда украденные электронные письма, учетные данные и информация о том, кто контактирует с кем, обрабатываются, Mealybug создает вредоносные электронные письма, которые выглядят как ответ на ранее украденные разговоры, и отправляет эти электронные письма вместе с украденными учетными данными в модуль Spammer, который использует эти учетные данные для отправки. вредоносные ответы на предыдущие разговоры по электронной почте через SMTP.

Похититель кредитных карт Google Chrome

Как следует из названия, Google Chrome Credit Card Stealer крадет информацию о кредитных картах, хранящихся в браузере Google Chrome. Для этого модуль использует статически связанную библиотеку SQLite3 для доступа к файлу базы данных веб-данных, обычно расположенному в %LOCALAPPDATA%GoogleChromeUser DataDefaultВеб-данные. Модуль запрашивает таблицу кредитные карты для имя_карты, expire_month, expire_yearи card_number_encrypted, содержащий информацию о кредитных картах, сохраненную в профиле Google Chrome по умолчанию. На последнем шаге значение card_number_encrypted расшифровывается с использованием ключа, хранящегося в %LOCALAPPDATA%GoogleChromeПользовательские данныеЛокальный файл состояния и вся информация отправляется на C&C-сервер.

Модули Systeminfo и Hardwareinfo

Вскоре после возвращения Emotet, в ноябре 2021 года, появился новый модуль, который мы называем Systeminfo. Этот модуль собирает информацию о скомпрометированной системе и отправляет ее на C&C-сервер. Собранная информация состоит из:

• Выход SystemInfo команду
• Выход IPCONFIG / все команду
• Выход нлтест /dclist: команда (удалена в октябре 2022 г.)
• Список процессов
• Время безотказной работы (получено через GetTickCount) в секундах (удалено в октябре 2022 г.)

In Октябрь 2022 Операторы Emotet выпустили еще один новый модуль, который мы называем Hardwareinfo. Несмотря на то, что он не крадет исключительно информацию об оборудовании скомпрометированной машины, он служит дополнительным источником информации для модуля Systeminfo. Этот модуль собирает со взломанной машины следующие данные:

• имя компьютера
• Имя пользователя
• Информация о версии ОС, включая основные и дополнительные номера версий
• ID сессии
• Строка бренда процессора
• Информация о размере и использовании оперативной памяти

Оба модуля имеют одну основную цель — проверить, исходит ли сообщение от законно скомпрометированной жертвы или нет. Emotet был, особенно после своего возвращения, действительно горячей темой в индустрии компьютерной безопасности и среди исследователей, поэтому Mealybug приложил немало усилий, чтобы защитить себя от отслеживания и мониторинга своей деятельности. Благодаря информации, собранной этими двумя модулями, которые не только собирают данные, но и содержат приемы анти-трекинга и анти-анализа, возможности Mealybug отличать реальных жертв от деятельности исследователей вредоносных программ или песочниц были значительно улучшены.

Что дальше?

Согласно исследованиям ESET и телеметрии, обе эпохи ботнета были тихими с начала апреля 2023 года. В настоящее время остается неясным, является ли это очередным отпуском для авторов, пытаются ли они найти новый эффективный вектор заражения или есть кто-то новый, управляющий ботнетом.

Несмотря на то, что мы не можем подтвердить слухи о том, что одна или обе Эпохи ботнета были проданы кому-то в январе 2023 года, мы заметили необычную активность на одной из Эпох. Новейшее обновление модуля загрузчика содержало новую функциональность, которая регистрирует внутренние состояния модуля и отслеживает его выполнение в файл. C: JSmithLoader (Рисунок 6, Рисунок 7). Поскольку этот файл должен существовать, чтобы на самом деле что-то регистрировать, эта функциональность выглядит как результат отладки для тех, кто не полностью понимает, что делает модуль и как он работает. Кроме того, в то время ботнет также широко распространял модули Spammer, которые считаются более ценными для Mealybug, поскольку исторически они использовали эти модули только на машинах, которые они считали безопасными.

Рисунок 6. Логирование поведения модуля загрузчика

Рисунок 7. Логирование поведения модуля загрузчика

Какое бы объяснение того, почему ботнет сейчас молчит, было правдой, Emotet был известен своей эффективностью, и его операторы приложили усилия для восстановления и обслуживания ботнета и даже добавили некоторые улучшения, поэтому следите за нашим блогом, чтобы узнать, что принесет будущее. нас.

МНК

Файлы

Cеть

Техники MITER ATT & CK

Эта таблица была построена с использованием версия 12 методик предприятия MITRE ATT&CK.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet/