Emotet 僵尸网络在中断 5 个月后再次爆发
Emotet恶意软件行动在近五个月的“假期”之后再次向恶意电子邮件发送垃圾邮件,臭名昭著的网络犯罪行动几乎没有活动。
Emotet恶意软件行动在近五个月的“假期”之后再次向恶意电子邮件发送垃圾邮件,臭名昭著的网络犯罪行动几乎没有活动。
Emotet是一种恶意软件感染,通过包含恶意Excel或Word文档的网络钓鱼活动分发。当用户打开这些文档并启用宏时,将下载 Emotet DLL 并将其加载到内存中。
加载后,恶意软件将搜索并窃取电子邮件以用于未来的垃圾邮件活动,并丢弃其他有效载荷,例如钴打击或其他通常会导致勒索软件攻击的恶意软件。
虽然 Emotet 被认为是过去分布最广泛的恶意软件,但它在 2022 年 6 月 13 日突然停止了垃圾邮件。
来自Emotet研究小组Cryptolaemus的研究人员报告说,在美国东部时间11月2日凌晨4:00左右,Emotet行动突然再次活跃起来,向世界各地的电子邮件地址发送垃圾邮件。
来自Cryptolaemus的推文
Proofpoint威胁研究员和Cryptolaemus成员Tommy Madjar告诉BleepingComputer,今天的Emotet电子邮件活动正在使用被盗的电子邮件回复链来分发恶意的Excel附件。
从上传到VirusTotal的样本中,BleepingComputer已经看到了以各种语言和文件名针对全球用户的附件,假装是发票,扫描,电子表格和其他诱饵。
下面可以看到示例文件名的部分列表:
今天的Emotet活动还引入了一个新的Excel附件模板,其中包含绕过Microsoft的受保护视图的说明。
恶意表情 Excel 文档
恶意表情Excel文档
当从 Internet 下载文件(包括作为电子邮件附件)时,Microsoft 将向该文件添加特殊的网络标记 (MoTW) 标志。
当用户打开包含 MoTW 标志的 Microsoft Office 文档时,Microsoft Office 将在受保护的视图中打开它,从而防止执行安装恶意软件的宏。
但是,在新的Emotet Excel附件中,您可以看到威胁参与者指示用户将文件复制到受信任的“模板”文件夹中,因为这样做将绕过Microsoft Office的受保护视图,即使对于包含MoTW标志的文件也是如此。
"RELAUNCH REQUIRED In accordance with the requirements of your security policy, to display the contents of the document, you need to copy the file to the following folder and run it again:
for Microsoft Office 2013 x32 and earlier - C:\Program Files\Microsoft Office (x86)\Templates
for Microsoft Office 2013 x64 and earlier - C:\Program Files\Microsoft Office\Templates
for Microsoft Office 2016 x32 and later - C:\Program Files (x86)\Microsoft Office\root\Templates
for Microsoft Office 2016 x64 and later - C:\Program Files\Microsoft Office\root\Templates"
虽然Windows会警告用户将文件复制到“模板”文件夹中需要“管理员”权限,但用户尝试复制文件的事实表明他们很有可能也会按“继续”按钮。
请求管理员权限
请求管理员权限
当附件从“模板”文件夹启动时,它将简单地打开并立即执行下载 Emotet 恶意软件的宏。
绕过 Microsoft Office 受保护的视图
绕过 Microsoft Office 受保护的视图
Emotet 恶意软件作为 DLL 下载到 %UserProfile%\AppData\Local 下的多个随机命名文件夹中,如下所示。
Emotet 存储在 %LocalAppData% 中的随机文件夹中
Emotet 存储在 %LocalAppData%
然后,宏将使用合法的 regsvr32.exe 命令启动 DLL。
通过Regsvr32运行的Emotet DLL.exe
通过Regsvr32运行的Emotet DLL.exe
下载后,恶意软件将在后台安静运行,同时连接到命令和控制服务器以获取进一步说明或安装其他有效负载。
Madjar告诉BleepingComputer,今天的Emotet感染还没有开始在受感染的设备上丢弃额外的恶意软件有效载荷。
然而,在过去,Emotet以安装TrickBot恶意软件而闻名,最近,Cobalt Strike信标。
然后,这些 Cobalt Strike 信标被勒索软件团伙用于初始访问,这些团伙在网络上横向传播, 窃取数据, 并最终加密设备.
过去曾使用 Emotet 感染使 Ryuk 和 Conti 勒索软件团伙能够初步访问公司网络。
自 Conti 于 6 月关闭以来,人们看到 Emotet 与 BlackCat 和 Quantum 勒索软件操作合作,对已经感染的设备进行初始访问。
Emotet是一种恶意软件感染,通过包含恶意Excel或Word文档的网络钓鱼活动分发。当用户打开这些文档并启用宏时,将下载 Emotet DLL 并将其加载到内存中。
加载后,恶意软件将搜索并窃取电子邮件以用于未来的垃圾邮件活动,并丢弃其他有效载荷,例如钴打击或其他通常会导致勒索软件攻击的恶意软件。
虽然 Emotet 被认为是过去分布最广泛的恶意软件,但它在 2022 年 6 月 13 日突然停止了垃圾邮件。
来自Emotet研究小组Cryptolaemus的研究人员报告说,在美国东部时间11月2日凌晨4:00左右,Emotet行动突然再次活跃起来,向世界各地的电子邮件地址发送垃圾邮件。
来自Cryptolaemus的推文
Proofpoint威胁研究员和Cryptolaemus成员Tommy Madjar告诉BleepingComputer,今天的Emotet电子邮件活动正在使用被盗的电子邮件回复链来分发恶意的Excel附件。
从上传到VirusTotal的样本中,BleepingComputer已经看到了以各种语言和文件名针对全球用户的附件,假装是发票,扫描,电子表格和其他诱饵。
下面可以看到示例文件名的部分列表:
Scan_20220211_77219.xls
fattura novembre 2022.xls
BFE-011122 XNIZ-021122.xls
FH-1612 report.xls
2022-11-02_1739.xls
Fattura 2022 - IT 00225.xls
RHU-011122 OOON-021122.xls
Electronic form.xls
Rechnungs-Details.xls
Gmail_2022-02-11_1621.xls
gescanntes-Dokument 2022.02.11_1028.xls
Rechnungs-Details.xls
DETALLES-0211.xls
Dokumente-vom-Notar 02.11.2022.xls
INVOICE0000004678.xls
SCAN594_00088.xls
Copia Fattura.xls
Form.xls
Form - 02 Nov, 2022.xls
Nuovo documento 2022.11.02.xls
Invoice Copies 2022-11-02_1008, USA.xls
payments 2022-11-02_1011, USA.xls
今天的Emotet活动还引入了一个新的Excel附件模板,其中包含绕过Microsoft的受保护视图的说明。
恶意表情 Excel 文档
恶意表情Excel文档
当从 Internet 下载文件(包括作为电子邮件附件)时,Microsoft 将向该文件添加特殊的网络标记 (MoTW) 标志。
当用户打开包含 MoTW 标志的 Microsoft Office 文档时,Microsoft Office 将在受保护的视图中打开它,从而防止执行安装恶意软件的宏。
但是,在新的Emotet Excel附件中,您可以看到威胁参与者指示用户将文件复制到受信任的“模板”文件夹中,因为这样做将绕过Microsoft Office的受保护视图,即使对于包含MoTW标志的文件也是如此。
"RELAUNCH REQUIRED In accordance with the requirements of your security policy, to display the contents of the document, you need to copy the file to the following folder and run it again:
for Microsoft Office 2013 x32 and earlier - C:\Program Files\Microsoft Office (x86)\Templates
for Microsoft Office 2013 x64 and earlier - C:\Program Files\Microsoft Office\Templates
for Microsoft Office 2016 x32 and later - C:\Program Files (x86)\Microsoft Office\root\Templates
for Microsoft Office 2016 x64 and later - C:\Program Files\Microsoft Office\root\Templates"
虽然Windows会警告用户将文件复制到“模板”文件夹中需要“管理员”权限,但用户尝试复制文件的事实表明他们很有可能也会按“继续”按钮。
请求管理员权限
请求管理员权限
当附件从“模板”文件夹启动时,它将简单地打开并立即执行下载 Emotet 恶意软件的宏。
绕过 Microsoft Office 受保护的视图
绕过 Microsoft Office 受保护的视图
Emotet 恶意软件作为 DLL 下载到 %UserProfile%\AppData\Local 下的多个随机命名文件夹中,如下所示。
Emotet 存储在 %LocalAppData% 中的随机文件夹中
Emotet 存储在 %LocalAppData%
然后,宏将使用合法的 regsvr32.exe 命令启动 DLL。
通过Regsvr32运行的Emotet DLL.exe
通过Regsvr32运行的Emotet DLL.exe
下载后,恶意软件将在后台安静运行,同时连接到命令和控制服务器以获取进一步说明或安装其他有效负载。
Madjar告诉BleepingComputer,今天的Emotet感染还没有开始在受感染的设备上丢弃额外的恶意软件有效载荷。
然而,在过去,Emotet以安装TrickBot恶意软件而闻名,最近,Cobalt Strike信标。
然后,这些 Cobalt Strike 信标被勒索软件团伙用于初始访问,这些团伙在网络上横向传播, 窃取数据, 并最终加密设备.
过去曾使用 Emotet 感染使 Ryuk 和 Conti 勒索软件团伙能够初步访问公司网络。
自 Conti 于 6 月关闭以来,人们看到 Emotet 与 BlackCat 和 Quantum 勒索软件操作合作,对已经感染的设备进行初始访问。
关于作者
评论0次