Sự tăng đột biến gần đây trong hoạt động Emotet cho thấy rằng nó vẫn là một mối đe dọa hoạt động

Một tuần sau khi thêm một mô-đun thu thập nội dung email mới và sau một khoảng thời gian hoạt động thấp, các diễn viên độc hại đằng sau Emotet đã khởi chạy một chiến dịch spam mới có quy mô lớn.

Emotet là gì?

Emotet là một gia đình Trojan ngân hàng khét tiếng về kiến ​​trúc mô-đun, kỹ thuật kiên trì, và sự tự tuyên truyền giống như con sâu. Nó được phân phối thông qua các chiến dịch spam sử dụng một loạt các guises dường như hợp pháp cho các tệp đính kèm độc hại của họ. Trojan thường được sử dụng làm trình tải xuống hoặc trình giảm tải cho các tải trọng phụ có khả năng gây hại nhiều hơn. Do tiềm năng phá hoại cao của nó, Emotet là chủ đề của một thông báo bảo mật của US-CERT vào tháng 7 năm 2018.

Chiến dịch mới

Theo từ xa của chúng tôi, hoạt động Emotet mới nhất đã được khởi chạy vào ngày 5 tháng 11 năm 2018, sau một khoảng thời gian hoạt động thấp. Hình 1 cho thấy mức tăng đột biến trong tỷ lệ phát hiện Emotet vào đầu tháng 11 năm 2018, như đã thấy trong dữ liệu đo từ xa của chúng tôi.

Hình 1 – Tổng quan về phát hiện sản phẩm ESET của Emotet trong hai tuần qua

Phá vỡ những phát hiện này theo quốc gia, như đã thấy trong Hình 2, chiến dịch Emotet mới nhất này có vẻ hoạt động mạnh nhất ở Châu Mỹ, Anh, Thổ Nhĩ Kỳ và Nam Phi.

Hình 2 – Phân phối phát hiện ESET của Emotet vào tháng 11 năm 2018 (bao gồm cả phát hiện tệp và mạng)

Trong chiến dịch tháng 11 năm 2018, Emotet sử dụng các tệp đính kèm Word và PDF độc hại làm hóa đơn, thông báo thanh toán, cảnh báo tài khoản ngân hàng, v.v, dường như đến từ các tổ chức hợp pháp. Ngoài ra, các email có chứa các liên kết độc hại thay vì tệp đính kèm. Các chủ đề email được sử dụng trong chiến dịch đề xuất nhắm mục tiêu người dùng nói tiếng Anh và tiếng Đức. Hình 3 cho thấy hoạt động Emotet trong tháng 11 năm 2018 từ góc độ phát hiện tài liệu. Hình 4, 5 và 6 là các email và tệp đính kèm mẫu từ chiến dịch này.

Hình 3 – Phân phối phát hiện ESET của các tài liệu liên quan đến Emotet trong tháng 11 năm 2018

Hình 4 – Ví dụ về một email spam được sử dụng trong chiến dịch Emotet mới nhất

Hình 5 – Ví dụ về tài liệu Word độc hại được sử dụng trong chiến dịch Emotet mới nhất

Hình 6 – Ví dụ về tệp PDF độc hại được sử dụng trong chiến dịch Emotet mới nhất

Kịch bản thỏa hiệp trong chiến dịch tháng 11 năm 2018 này bắt đầu với nạn nhân mở một tệp Word hoặc PDF độc hại gắn liền với một email spam dường như đến từ một tổ chức hợp pháp và quen thuộc.

Làm theo hướng dẫn trong tài liệu, nạn nhân cho phép macro trong Word hoặc nhấp vào liên kết trong tệp PDF. Trọng tải Emotet sau đó được cài đặt và khởi chạy, thiết lập sự kiên trì trên máy tính và báo cáo sự thỏa hiệp thành công với máy chủ C & C của nó. Đổi lại, nó nhận được hướng dẫn về các mô-đun tấn công và tải trọng phụ tải xuống.

Các mô-đun mở rộng chức năng tải trọng ban đầu với một hoặc nhiều thông tin đánh cắp chứng thực, tuyên truyền mạng, thu thập thông tin nhạy cảm, chuyển tiếp cổng và các khả năng khác. Đối với các tải trọng thứ cấp, chiến dịch này đã thấy Emotet giảm TrickBot và IcedId trên các máy bị xâm phạm.

Kết luận

Sự tăng vọt gần đây trong hoạt động Emotet chỉ cho thấy Emotet tiếp tục là một mối đe dọa tích cực – và ngày càng đáng lo ngại hơn do các cập nhật mô-đun gần đây. Các hệ thống ESET phát hiện và chặn tất cả các thành phần Emotet dưới các tên phát hiện được liệt kê trong phần IoC.

Các chỉ số về Thỏa hiệp (IoC)

Ví dụ băm

Lưu ý rằng các bản xây dựng Emotet mới được phát hành khoảng hai giờ một lần, vì vậy các băm có thể không có sẵn mới nhất.

Emotet

SHA-1 Tên phát hiện ESET
51AAA2F3D967E80F4C0D8A86D39BF16FED626AEF Giun Win32 / Kryptik.GMLY
EA51627AF1F08D231D7939DC4BA0963ED4C6025F Giun Win32 / Kryptik.GMLY
3438C75C989E83F23AFE6B19EF7BEF0F46A007CF trojan Win32 / Kryptik.GJXG
00D5682C1A67DA31929E80F57CA26660FDEEF0AF Trojan Win32 / Kryptik.GMLC

SHA-1 Tên phát hiện ESET
0E853B468E6CE173839C76796F140FB42555F46B Trojan Win32 / Kryptik.GMFS
191DD70BBFF84D600142BA32C511D5B76BF7E351 Trojan Win32 / Emotet.AW
BACF1A0AD9EA9843105052A87BFA03E0548D2CDD Trojan Win32 / Kryptik.GMFS
A560E7FF75DC25C853BB6BB286D8353FE575E8ED Giun Win32 / Kryptik.GMFS
12150DEE07E7401E0707ABC13DB0E74914699AB4 Giun Win32 / Kryptik.GMFS
E711010E087885001B6755FF5E4DF1E4B9B46508 Win32 / Agent.TFO trojan

Tải trọng phụ

TrickBot

SHA-1 Tên phát hiện ESET
B84BDB8F039B0AD9AE07E1632F72A6A5E86F37A1 Giun Win32 / Kryptik.GMKM
9E111A643BACA9E2D654EEF9868D1F5A3F9AF767 trojan Win32 / Kryptik.GMKM

IcedId

SHA-1 Tên phát hiện ESET
0618F522A7F4FE9E7FADCD4FBBECF36E045E22E3 trojan Win32 / Kryptik.GMLM

Máy chủ C & C (hoạt động kể từ ngày 9 tháng 11 năm 2018)

187.163.174 [.] 149: 8080
70,60,50 [.] 60: 8080
207.255.59 [.] 231: 443
50.21.147 [.] 8: 8090
118.69.186 [.] 155: 8080
216.176.21 [.] 143: 80
5.32,65 [.] 50: 8080
96.246.206 [.] 16:80
187.163.49 [.] 123: 8090
187.207,72 [.] 201: 443
210.2.86 [.] 72: 8080
37.120.175 [.] 15:80
77.44.98 [.] 67: 8080
49.212.135 [.] 76: 443
216.251.1 [.] 1:80
189.130.50 [.] 85:80
159.65,76 [.] 245: 443
192.155.90 [.] 90: 7080
210.2.86 [.] 94: 8080
198.199.185 [.] 25: 443
23.254.203 [.] 51: 8080
67.237.41 [.] 34: 8443
148,69,94 [.] 166: 50000
107.10.139 [.] 119: 443
186.15.60 [.] 167: 443
133.242.208 [.] 183: 8080
181.229.155 [.] 11:80
69.198,17 [.] 20: 8080
5.9.128 [.] 163: 8080
104,5,49 [.] 54: 8443
139.59.242 [.] 76: 8080
181.27.126 [.] 228: 990
165.227.213 [.] 173: 8080





nguon http://feedproxy.google.com/~r/eset/blog/~3/qIMs3Kk2E0U/

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây