Emotet 殭屍網路重新活躍! 在中斷 4 個月後再次死灰復燃,通過電子郵件傳播惡意軟體

Key Points:

* Emotet 在中斷 4 個月後再次向全球發送垃圾郵件以尋找新的受害者。

*專家警告應注意附檔的 XLS 檔案以及壓縮和受密碼保護的 XLS,因為這是 Emotet 最常用的方法。

*規避 Microsoft Office 的受保護檢視

Emotet 是一種惡意軟體感染,通過包含惡意 Excel 或 Word檔案的網路釣魚活動傳播。當用戶打開這些檔案並啟用宏時,Emotet DLL 將被下載並載入到內存中。Emotet 不僅搜索和竊取電子郵件以進一步擴大其垃圾郵件活動,甚至投放額外的payloads,例如 Cobalt Strike惡意軟體,從而導致勒索軟體攻擊等事件發生。

Emotet 是迄今為止傳播最廣泛的惡意軟體,Emotet 研究人員Cryptolaemus表示,在美國東部時間 11 月 2 日凌晨 4:00 左右,Emotet 的操作突然再次活躍起來,向全球發送電子郵件地址。根據用戶上傳到VirusTotal的報告,惡意檔案正以各種語言和文件名發送給全球用戶。這些檔案中的大多數都偽裝成發票、掃描檔案、電子表格或其他誘餌。

惡意 Emotet Excel 檔案
請求管理員權限

繞過 Microsoft Office 受保護的檢視

在新的活動中,Emotet活動還引入了一個新的Excel附件範本(Template),其中包含繞過Microsoft的受保護的檢視(Protected view)。從電子郵件中下載excel附件後,Microsoft 將在檔案中添加特殊的一個特殊的 Mark-of-the-Web (MoTW) 標誌,使用受保護的檢視打開文件可防止執行惡意宏。

Emotet Excel 附件指示用戶將文件複製到名為範本(Template)的受信任檔案夾中,這樣做會繞過受保護的檢視。雖然 Windows 會警告用戶將文件複製到“Template” 檔案夾需要“管理員”權限,但用戶嘗試複製檔案的事實表明他們很有可能也會按下“繼續”按鈕。當附件從“Template” 檔案夾啟動時,它會打開並立即執行下載 Emotet 惡意軟體的宏。

Emotet 惡意軟體作為 DLL 下載到 %UserProfile%\AppData\Local 下的多個隨機命名檔案夾中,如下所示。

Emotet 存儲在 %LocalAppData% 的隨機檔案夾中
宏將使用合法的 regsvr32.exe 命令啟動 DLL

下載後,惡意軟體將在後台安靜地運行,同時連接到C2伺服器以獲取進一步的指令或安裝額外的payloads。

Emotet新活動的部分入侵指標(Indicator of compromise -IOCs)

SHA 256

ef2ce641a4e9f270eea626e8e4800b0b97b4a436c40e7af30aeb6f02566b809c

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Emotet 改變策略,跳過中間的木馬程式,直接投放Cobalt Strike的Beacon

Emotet的回歸是一個巨大的威脅,同時它的發展也令人擔憂,在過去Emotet會在受感染的設備上安裝TrickBot或Qbot木馬,進而在受感染的系統上部署 Cobalt Strike。在典型的攻擊中,受害者在最初感染和被部署勒索軟體之間會有大約一個月的時間。但現在研究人員發現由於Emotet跳過了中間木馬TrickBot 和 Qbot 的初始有效負載,駭客將可立即存取網路、橫向傳播、快速部署勒索軟體並竊取數據,這自然意味著從 Emotet 感染到勒索軟體攻擊的時間大大縮短。據悉,Emotet的捲土重來,是由操作Conti勒索軟體的駭客推波助瀾的,而Cobalt Strike的Beacon快速安裝有望加速勒索軟體的部署。

減少攻擊鏈將使駭客能夠速進入攻擊的第二階段,例如在受感染的網路上安裝勒索軟體。

資安公司 Cofense 與Bleeping Computer共享的 Flash Alert中證實了攻擊中使用的新手法。當 Cobalt Strike 樣本運行時,它試圖聯繫lartmana[.]com的網域。不久之後,Emotet投放了Cobalt Strike的執行檔案

Cofense 研究人員推測,新的攻擊鏈可能是一次測試,甚至是無意的,然而Emotet 的重新出現和隨後的策略變化預示著更多的勒索軟體攻擊。隨著攻擊手法上的新變化,Emotet 縮短了感染和最終勒索軟體部署之間的時間,目前專家們將繼續監測事態的發展。

Emotet相關的Indicators of Compromise (IOCs):

SHA256 hash: 7c5690577a49105db766faa999354e0e4128e902dd4b5337741e00e1305ced24

SHA256 hash: bd9b8fe173935ad51f14abc16ed6a5bf6ee92ec4f45fd2ae1154dd2f727fb245

SHA256 hash: f7a4da96129e9c9708a005ee28e4a46af092275af36e3afd63ff201633c70285

SHA256 hash: d95125b9b82df0734b6bc27c426d42dea895c642f2f6516132c80f896be6cf32

SHA256 hash: 88b225f9e803e2509cc2b83c57ccd6ca8b6660448a75b125e02f0ac32f6aadb9

SHA256 hash: 1abd14d498605654e20feb59b5927aa835e5c021cada80e8614e9438ac323601

URLs:

hxxp://av-quiz[.]tk/wp-content/k6K/
hxxp://devanture[.]com[.]sg/wp-includes/XBByNUNWvIEvawb68/
hxxp://ranvipclub[.]net/pvhko/a/
hxxp://visteme[.]mx/shop/wp-admin/PP/
hxxps://goodtech.cetxlabs[.]com/content/5MfZPgP06/
hxxps://newsmag.danielolayinkas[.]com/content/nVgyRFrTE68Yd9s6/
hxxps://team.stagingapps[.]xyz/wp-content/aPIm2GsjA/

IP:

177.72.80.14

51.210.242.234

51.178.61.60

196.44.98.190

185.148.169.10

142.4.219.173

168.197.250.14

94.177.248.64

81.0.236.93

66.42.55.5

45.76.176.10

188.93.125.116

103.8.26.103

103.8.26.102

Emotet捲土重來並以Trickbot重建其殭屍網路!

Key Points:

*在歐洲刑警關閉Emotet殭屍網路及其C2伺服器的十個月後,Emotet再次活躍起來。

*今年 4 月 25 日,執法部門還從受感染的電腦上大規模移除了 Emotet。

*新的 Emotet 伺服器和惡意軟體樣本已於 11 月 14 日出現。

Emotet 惡意軟體曾被認為是傳播最廣泛的惡意軟體,它使用垃圾郵件活動和惡意附件來分發惡意軟體,Emotet 會使用受感染的設備來執行其他垃圾郵件活動並安裝其他payloads,例如 QakBot (Qbot) 和 Trickbot 惡意軟體。然後,這些payloads將用於向駭客提供部署包括 Ryuk、Conti、ProLock、Egregor 等勒索軟體的入侵初期的存取權限。

今年年初,由歐洲刑警組織和8國警方合作協調的一項國際執法行動接管了 Emotet 基礎設施並逮捕了兩名系統管理員,並為了預防Emotet起死回生,於4月25自遠端關閉了受害系統上的Emotet功能並自動執行程式,移除Emotet殭屍網路,從受感染的設備中移除了惡意軟體,但新的Emotet伺服器和惡意軟體樣本已於 11 月 15 日出現。

Photo Credit: Cryptolaemus
Emotet感染鏈, Photo Credit:SANS ISC

來自CryptolaemusGDataAdvanced Intel的研究人員已經開始看到 TrickBot 惡意軟體在受感染設備上投放Emotet的載入器(Loader),根據Cryptolaemus研究員,在過去駭客經常運用Emotet來在受害電腦下載TrickBot,但駭客現在使用一種稱為“Operation Reacharound”的方法,利用TrickBot 的現有基礎設施重建 Emotet 殭屍網路,研究員相信這可能是Emotet回歸的方式。

另外,Cryptolaemus的成員 Abuse.ch發布了新的Emotet殭屍網路C2伺服器列表,據了解,新的 Emotet 基礎設施正在迅速增長,已有超過 246 台受感染設備已經充當C2伺服器,強烈建議網路管理員封鎖以下相關的 IP 地址。

177.72.80.14

51.210.242.234

51.178.61.60

196.44.98.190

185.148.169.10

142.4.219.173

168.197.250.14

94.177.248.64

81.0.236.93

66.42.55.5

45.76.176.10

188.93.125.116

103.8.26.103

103.8.26.102

相關的Indicators of Compromise (IOCs)

SHA256 hash: 7c5690577a49105db766faa999354e0e4128e902dd4b5337741e00e1305ced24

SHA256 hash: bd9b8fe173935ad51f14abc16ed6a5bf6ee92ec4f45fd2ae1154dd2f727fb245

SHA256 hash: f7a4da96129e9c9708a005ee28e4a46af092275af36e3afd63ff201633c70285

SHA256 hash: d95125b9b82df0734b6bc27c426d42dea895c642f2f6516132c80f896be6cf32

SHA256 hash: 88b225f9e803e2509cc2b83c57ccd6ca8b6660448a75b125e02f0ac32f6aadb9

SHA256 hash: 1abd14d498605654e20feb59b5927aa835e5c021cada80e8614e9438ac323601

URLs:

hxxp://av-quiz[.]tk/wp-content/k6K/
hxxp://devanture[.]com[.]sg/wp-includes/XBByNUNWvIEvawb68/
hxxp://ranvipclub[.]net/pvhko/a/
hxxp://visteme[.]mx/shop/wp-admin/PP/
hxxps://goodtech.cetxlabs[.]com/content/5MfZPgP06/
hxxps://newsmag.danielolayinkas[.]com/content/nVgyRFrTE68Yd9s6/
hxxps://team.stagingapps[.]xyz/wp-content/aPIm2GsjA/