蓝盟IT小贴士,来喽!
Emotet始于2014年作为银行木马,已发展成为全面的威胁传播机制。 您可以在受害者的机器上安装一系列恶意软件,包括信息盗窃设备、电子邮件收集器、自我传播机制和恐吓软件。 最后一次出现在10月。 攻击主要针对民主党全国委员会(DNC )的志愿者。 在此之前,它的活动停止了5个月之后,7月再次活跃起来,开始投入Trickbot特洛伊木马。 在此之前的2月,在伪造发送受害者的银行信息的攻击活动中,可以看到其身影。
' Emotet僵尸网络是在活动状态下攻击次数非常多的恶意电子邮件发送者之一,但经常暂停几周或几个月。' Cofense的研究者Brad Haas在星期二的博客上说。 “今年,这样的休眠从2月持续到7月中旬。 这是Cofense过去几年中见过的最长的休眠时间。 从那以后,他们观察到Emotet的通常活动一直持续到10月末,但从那以后到今天为止没有收到任何消息。 '
研究人员表示,这个僵尸网络的有效载荷保持原样,没有变化。 ' 10月,最常见的有效载荷是TrickBot、Qakbot和ZLoader。 今天观察到了TrickBot。' 根据Haas。
TrickBot恶意软件是有名而复杂的木马,是2016年作为银行恶意软件开发的。 和Emotet一样,过去也增加了改变自己,检测和强化感染的新功能。 感染TrickBot木马的用户看到他们的设备成为僵尸网络的一部分,攻击者用它装载第二阶段的恶意软件。 研究者称之为“其他大多数恶意软件有效载荷的理想投入器”。
TrickBot感染后的典型结果是银行账户交接、电信诈骗和恐吓软件攻击。 最近实现了检查目标系统UEFI/BIOS固件的功能。 微软和其他公司在10月研究突破了这个恶意软件的基础架构后再次卷土重来。
一些安全公司发现了最新的攻击活动,Proofpoint通过Twitter说:“我看到了10多万种语言的信息,包括英语、德语、西班牙语和意大利语。 攻击的诱饵主要使用Word附件中的线程劫持、密码保护的压缩包和恶意URL等手段。 '线程劫持是Emotet在秋天增加的攻击方式,被Palo Alto Networks的研究者发现。 操作员在电子邮件中插入病毒,以回复目标发送的实际电子邮件。 这样接收者没有理由认为这封邮件是恶意的。
Proofpoint威胁研究和检查高级管理层Sherrod DeGrippo告诉Threatpost,本周的活动对Emotet来说是非常正常的活动。
“我们队还在审计新样本,到目前为止,我们只发现了非常微小的变化。 例如,Emotet的格式现在是DLL而不是. exe。 ' DeGrippo先生说。 ' Emotet发起攻击时,我们通常会观察到每天发送数十万封电子邮件。 这次攻击活动和他们的情况几乎一样。 这些攻击正在进行中,所以正在实时计数和更新。 这些攻击活动的数量与过去的其他攻击活动类似,一般每天10万次到50万次左右。 '
她补充说,这次攻击活动最有趣的是时刻。
她指出:“我们通常看到Emotet从12月24日到1月初停止攻击。” “如果他们继续保持这种方法,最近的攻击对他们来说将是非常短和罕见的。 "。
Malwarebytes的研究者还指出网络攻击者交替使用不同的钓饵,对用户进行社会工程学攻击,使宏观有效。 包括以COVID-19为主题的钓饵。 研究者还观察到Emotet集团使用伪造的错误信息加载有效载荷。
Has的Cofense团队观察到了同样的攻击活动,指出Emotet集团进行了技术革新。
他说:“新的Emotet maldoc发生明显变化可能是为了避免注意到受害者感染了。” “此文档包含尚未安装Emotet的恶意宏代码,仍显示“受保护”文档,必须由用户启用宏才能打开宏。 旧版本启用宏后,不作出可视响应,可能会对受害者产生怀疑。 在新版本中,将创建一个对话框“Word尝试打开文件时发生错误”。 这很可能会向用户解释Emotet开始在后台运行时为什么没有看到预期的内容,而忽略发生的整个事件。 '
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
