新报告揭露了Emotet在最近的攻击中使用的交付和规避技术-讯岚网络信息安全

根据VMware的最新研究，与臭名昭著的Emotet恶意软件相关的攻击正在不断改变策略和指挥控制( C2 )基础设施，以逃避检测。

Emotet，被追踪为”木乃伊蜘蛛” ( aka TA542 )，于2014年6月成为一个银行木马，然后在2016年转变为一个通用的装载机，能够提供第二阶段的有效载荷，如赎金。

虽然僵尸网络的基础设施在2021年1月作为协调执法行动的一部分被拆除，但Emotet在2021年11月通过另一个名为TrickBot的恶意软件反弹。

埃莫特的复活，由现在已经解散的康蒂团队策划，为Cobalt Strike感染铺平了道路，最近，涉及量子和黑猫的赎金袭击。

VMware威胁分析部门( TAU )的研究人员在与《黑客新闻》( The Hacker News )分享的一份报告中说，Emotet执行链的持续调整是恶意软件长期成功的原因之一。

Emotet攻击流的特点还在于使用不同的攻击向量，更好地在更长的时间内保持隐蔽。

这些入侵通常依赖于发送恶意软件标记的文档或嵌入的URL的垃圾邮件，这些邮件在打开或点击时导致恶意软件的部署。

仅在2022年1月，VMware就表示观察到了三组不同的攻击，其中Emotet有效负载通过Excel 4.0 ( XL4 )宏、带有PowerShell的XL4宏和带有PowerShell的Visual Basic Application ( VBA )宏交付。

其中一些感染生命周期还因滥用合法可执行文件mshta . exe启动恶意HTA文件，然后丢弃Emotet恶意软件而引人注目。

研究人员说，像mshta和PowerShell这样的工具，有时被称为”陆地上的二进制文件” ( LOLBINs )，在威胁行为者中很受欢迎，因为它们是由微软签署的，并受到Windows的信任。

这使得攻击者可以执行一个混乱的代理攻击，其中合法工具被愚弄到执行恶意操作。

对近25000个独特的Emotet DLL工件的进一步分析显示，其中26.7 %被Excel文档删除。多达139个不同的程序链被识别出来。

Emotet的重新崛起以C2基础设施的变化为标志，威胁方运营着两个新的僵尸网络集群，被称为Epochs 4和5。在撤销之前，Emotet操作运行在三个独立的僵尸网络上，分别称为Epochs 1、2和3。

除此之外，在2022年3月15日至2022年6月18日期间，在野外发现了10235个Emotet有效载荷，这些有效载荷重新使用了属于Epoch 5的C2服务器。

除了执行链和C2IP地址的变化外，Emotet还分发了两个新的插件，一个用于从Google Chrome浏览器捕获信用卡数据，以及一个使用SMB协议进行横向移动的扩展模块。

其他重要组件包括用于Microsoft Outlook和雷鸟微处理器电子邮件客户端的垃圾邮件模块和账户窃取程序。

用于托管服务器的IP地址大部分位于美国、德国和法国。而Emotet的大部分模块分别在印度、韩国、泰国、加纳、法国和新加坡。