Emotet归来,每天攻击10万个邮箱
经过将近两个月的沉寂,Emotet僵尸网络又回来了,更新了有效载荷,并开展了每天打击10万个目标的攻击活动。
Emotet在2014年开始作为一个银行木马,并不断发展成为一个全方位的威胁传输机制。它可以在受害者机器上安装一系列的恶意软件,包括信息窃取器、电子邮件采集器、自我传播机制和勒索软件。它最后一次出现在10月份,攻击主要是针对民主党全国委员会(DNC)的志愿者;而在此之前,它活动停顿了5个月后,于7月份又开始活跃,开始投放Trickbot木马。在此之前的2月份,在一次伪造发送来自受害者银行短信的攻击活动中,人们看到了它的身影。
"Emotet僵尸网络是在活跃状态下攻击次数非常多的恶意电子邮件发送者之一,但它经常休眠数周或数月,"Cofense的研究员Brad Haas在周二的博客中说。"今年,有一次这样的休眠从2月份一直持续到了7月中旬,这是Cofense在过去的几年中看到的最长的休眠时间。从那时起,他们观察到Emotet的常规活动一直持续到10月底,但从那时起直到今天都没有收到任何消息。"
研究人员表示,该僵尸网络的有效载荷一直是保持了原样,没有变化。"在10月份,最常见的有效载荷是TrickBot,Qakbot和ZLoader;今天我们观察到TrickBot,"根据Haas的说法。
TrickBot恶意软件是一款知名的而且复杂的木马,最早是在2016年是被作为银行恶意软件而开发出来的--和Emotet一样,它过去也有改变自身并添加新功能以逃避检测或加强感染能力的行为。感染TrickBot木马的用户将看到他们的设备成为僵尸网络的一部分,攻击者用它来加载第二阶段的恶意软件--研究人员称它是 "几乎任何其他恶意软件有效载荷的理想的投放器"。
TrickBot感染后典型的后果是银行账户被接管、电信诈骗和勒索软件攻击。它最近实现了检查目标系统的UEFI/BIOS固件的功能。微软和其他公司在10月对该恶意软件的基础架构进行研究攻破后,它又卷土重来了。
几家安全公司发现了最新的攻击活动,Proofpoint通过Twitter指出:"我们看到了10万多条英语、德语、西班牙语、意大利语等语言的信息。攻击的诱饵主要使用Word附件的线程劫持、被密码保护的压缩包和恶意URL等手段。"
线程劫持是Emotet在秋季时增加的一个攻击方式,该攻击方式被Palo Alto Networks的研究人员发现。操作者会将病毒插入到电子邮件中,用以回复目标发送的真实电子邮件。这样收件人没有理由认为这封邮件是恶意的。
Proofpoint威胁研究和检测高级总监Sherrod DeGrippo告诉Threatpost,本周的活动对于Emotet来说是非常正常的活动。
"我们的团队仍在审计新的样本,到目前为止,我们只发现了非常微小的变化。例如,Emotet的形式现在被做成了一个DLL而不是一个.exe,"DeGrippo说。"当Emotet发动攻击时,我们通常会观察到每天有数十万封电子邮件被发送出去。这次攻击活动与他们的情况差不多。由于这些攻击正在进行中,我们正在实时计数进行更新。这些攻击活动的数量与过去的其他攻击活动类似,一般每天在10万到50万次左右。"
她补充说,这次攻击活动最有趣的是时间点。
"我们通常会看到Emotet在12月24日到1月初停止攻击,"她指出。"如果他们一直保持这种方式,那么最近的这种攻击对于他们来说将是非常短暂而且不寻常的。"
Malwarebytes研究人员同时指出,网络攻击者正在交替使用不同的钓鱼诱饵,以便对用户进行社交工程学攻击,使其启用宏。同时包括使用以COVID-19为主题的钓鱼诱饵。研究人员还观察到Emotet团伙用伪造的错误信息加载有效载荷。
Haas的Cofense团队观察到了同样的攻击活动,并指出这标志着Emotet团伙进行了技术的革新。
"新的Emotet maldoc发生了一个明显的变化,可能是为了防止受害者注意到他们已经被感染了,"他说。"该文档仍然包含安装Emotet的恶意宏代码,并且仍然显示是一个 "受保护 "的文档,需要用户启用宏才能打开它。旧版本在启用宏后不会给出任何可见的响应,这可能会让受害者产生怀疑。新版本会创建一个对话框,说 "Word在尝试打开文件时遇到了错误"。这会给用户一个解释,为什么他们没有看到预期的内容,并使他们更有可能忽略发生的整个事件,而此时Emotet已经开始在后台运行了。"
DeGrippo告诉Threatpost,对这些邮件的初步观察表明,一些线程被劫持后会要求收件人打开一个.zip附件,并需要提供密码进行访问。
研究人员表示,该恶意软件的再次出现,虽然与之前的活动相比并没有任何改变,但它应该值得被管理员关注。
关于"Emotet ",最令人担心的是它与其他犯罪分子联手发动攻击,特别是那些从事勒索软件业务的犯罪分子。Emotet - TrickBot – Ryuk组合在2018年圣诞节前后造成了严重的破坏,"根据Malwarebytes的说法。"虽然一些网络攻击者也会过假期,但当许多公司的工作人员减少时,此时就是发起新一轮攻击的绝佳时机。鉴于流行病的爆发和最近的SolarWinds事件,今年的局势更加关键。我们敦促各组织需要特别警惕,继续采取措施保护网络安全,特别是安全政策和访问控制方面的保护。"
本文翻译自:https://threatpost.com/emotet-returns-100k-mailboxes/162584/
