Търсене
Close this search box.

Ботнетът, който отказва да умре, се завръща отново и е оборудван с нови полезни товари и тактики за избягване на откриването

Киберпрестъпниците, които управляват ботнета Emotet, вече са сред най-масовите автори на  заплахи в настоящия пейзаж на киберсигурността, след като се рестартираха след четиримесечна пауза.

Според фирмата за киберсигурност Proofpoint откриванията на полезен товар на Emotet са намалели през юли 2022г., но са се появили отново в началото на ноември, а ботнетът вече действа като основен посредник за доставката на големи щамове зловреден софтуер.

Преди това Emotet се е върнал към активност през ноември 2021г., по-малко от година след като операция на правоприлагащите органи  затвори първоначалната му инфраструктура, която в продължение на години е била насочена към бизнеса със зловреден софтуер.

Компанията заяви, че всеки ден блокира стотици хиляди имейли, свързани с Emotet, което я поставя сред най-обемните кампании за заплахи по електронна поща, действащи в момента.

Следвайки историческите си модели, Emotet е демонстрирал продължаваща еволюция в начина си на работа, включително промяна в примамките, двоичния код на зловредния софтуер и други зловредни програми, пуснати чрез успешни кампании.

Екипът на Palo Alto Networks Unit 42 откри в началото на месеца, че при една единствена инфекция с Emotet на машината на жертвата са били пуснати и двата щама на зловредния софтуер IcedID и Bumblebee.

От Proofpoint заявиха, че щамът IcedID, който понастоящем се разпространява чрез Emotet, е по-нова версия, снабдена с различни команди и нов зареждащ модул, което може да е сигнал за промяна в собствеността или за нови взаимоотношения между престъпниците, управляващи IcedID, и тези, които стоят зад Emotet.

„Отпадането на IcedID от Emotet означава, че Emotet отново е в пълна функционалност, като действа като мрежа за доставка на други семейства зловреден софтуер“, се казва в технически анализ на Proofpoint.

„Emotet не е демонстрирал пълна функционалност и последователна доставка на последващ полезен товар (който не е Cobalt Strike) от 2021г., когато беше забелязан да разпространява The Trick и Qbot.

„Завръщането на TA542, което съвпада с доставката на IcedID, е обезпокоително. Преди това IcedID е наблюдаван като последващ полезен товар на инфекциите с Emotet. В много случаи тези инфекции могат да доведат до рансъмуер“.

Някои от възможностите на IcedID включват извличане на информация за работния плот, изпълняваните процеси и системната информация. Той може също така да чете и екфилтрира файлове чрез инфраструктурата за командване и контрол (C2).

Зловредният софтуер Bumblebee, който често действа като зареждащ зловреден софтуер или рансъмуер, беше открит по-рано тази година и се смята, че е свързан с операциите, управляващи TrickBot и BazarLoader.

Смята се, че тези две семейства зловреден софтуер са свързани и с вече закритата организация Conti ransomware.

Proofpoint също установи връзки с IcedID и Conti – изтичане на информация от вътрешните чатове на организацията за рансъмуер разкри, че тя може би е била наричана вътрешно „Anubis“.

Компанията заяви още, че очаква Emotet да продължи да се разраства допълнително, демонстрирайки повече опити за атаки срещу цели на повече места по света.

Emotet е известен с това, че е една от най-влиятелните киберпрестъпни операции през последните няколко години и бяха необходими месеци на координирани усилия между различни международни правоприлагащи органи, за да бъде унищожен за първи път.

Инфраструктурата на Emotet се е увеличила почти двойно, откакто беше потвърдено възобновяването

Той е известен с това, че непрекъснато адаптира техниките си за заразяване, за да използва най-новите уязвимости и да избягва откриване.

Emotet беше една от първите операции, които еволюираха, след като Microsoft блокира VBA макросите в документите на Office, като вместо това се насочи към използването на URL адреси на OneDrive.

Блокирането на макросите VBA от страна на Microsoft беше широко приветствано в индустрията за киберсигурност по това време. То беше въведено като начин за намаляване на броя на успешните злонамерени имейл кампании, разпространяващи зловреден софтуер.

Независимо от това, вече са създадени различни обходни пътища, като през последните месеци най-популярно се оказа използването на LNK файлове.

Източник: itpro.co.uk

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
17 септември 2024

Тактики за скриване под радара на киберпрестъпн...

Киберсигурността е игра на котка и мишка, в която нападатели и защи...
17 септември 2024

Група за рансъмуер публикува данни, за които се...

Групата за рансъмуер RansomHub е публикувала 487 гигабайта данни, з...
17 септември 2024

EasyDMARC получава 20 млн. долара за удостоверя...

EasyDMARC, арменски стартъп, който намира приложение в областта на ...
Бъдете социални
Още по темата
17/09/2024

Скорошните уязвимости на Wh...

Две критични уязвимости, поправени наскоро в...
17/09/2024

Тактики за скриване под рад...

Киберсигурността е игра на котка и...
17/09/2024

Група за рансъмуер публикув...

Групата за рансъмуер RansomHub е публикувала...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!