发布于2022年10月16日3年前 根据 VMware 的最新研究,与臭名昭著的 Emotet 恶意软件相关的威胁参与者正在不断改变其策略和命令与控制 (C2) 基础设施以逃避检测。 Emotet是被追踪为 Mummy Spider(又名 TA542)的威胁行为者的作品,于 2014 年 6 月作为银行木马出现,然后在 2016 年演变为能够提供第二阶段有效负载(如勒索软件)的通用加载程序。 虽然僵尸网络的基础设施在 2021 年 1 月作为协调执法行动的一部分被拆除,但 Emotet 在 2021 年 11 月通过另一种名为TrickBot的恶意软件反弹。 Emotet 的复活由现已解散的 Conti 团队精心策划,此后为 Cobalt Strike 感染以及最近涉及Quantum 和 BlackCat的勒索软件攻击铺平了道路。 VMware 威胁分析部门 (TAU) 的研究人员在与 The Hacker News 分享的一份报告中表示: “Emotet 执行链的持续调整是该恶意软件长期成功的原因之一。” Emotet 攻击流的特征还在于使用不同的攻击向量以试图在较长时间内保持隐蔽。 这些入侵通常依赖于传递带有恶意软件的文档或嵌入式 URL 的垃圾邮件波,当打开或单击这些 URL 时,会导致恶意软件的部署。 仅在 2022 年 1 月,VMware 就表示观察到三组不同的攻击,其中 Emotet 有效负载是通过 Excel 4.0 (XL4) 宏、带有 PowerShell 的 XL4 宏和带有 PowerShell 的 Visual Basic Application (VBA) 宏交付的。 其中一些感染生命周期还因滥用名为mshta.exe的合法可执行文件来启动恶意 HTA 文件然后删除 Emotet 恶意软件而引人注目。 研究人员说:“诸如 mshta 和 PowerShell 之类的工具,有时被称为离地二进制文件 (LOLBIN),在威胁参与者中非常受欢迎,因为它们由微软签名并受到 Windows 的信任。” “这允许攻击者执行混淆代理攻击,其中合法工具被欺骗执行恶意操作。” 对近 25,000 个独特的 Emotet DLL 工件的进一步分析表明,其中 26.7% 被 Excel 文档丢弃。已确定多达 139 个独特的程序链。 Emotet 的重新出现还以 C2 基础设施的变化为标志,威胁参与者运营着两个新的僵尸网络集群,称为Epochs 4 和 5。在下架之前,Emotet 操作运行在三个独立的僵尸网络之上,称为 Epochs 1、2 和 3。 最重要的是,在 2022 年 3 月 15 日至 2022 年 6 月 18 日期间,在野外检测到的 10,235 个 Emotet 有效载荷重用了属于 Epoch 5 的 C2 服务器。 除了对执行链和 C2 IP 地址的更改之外,Emotet 还被发现分发了两个新插件,一个旨在从谷歌 Chrome 浏览器中捕获信用卡数据,一个使用 SMB 协议进行横向移动的扩展模块。 其他重要组件包括垃圾邮件模块和 Microsoft Outlook 和 Thunderbird 电子邮件客户端的帐户窃取程序。 用于托管服务器的大部分 IP 地址位于美国、德国和法国。相比之下,大多数 Emotet 模块都托管在印度、韩国、泰国、加纳、法国和新加坡。 为防范 Emotet 等威胁,建议实施网络分段、实施零信任模型并替换默认身份验证机制以支持更强大的替代方案。
