相关研究人员分析了Emotet供应链的演化
VMware研究人员分析了Emotet恶意软件背后的供应链,并报告:其运营商正在不断改变策略、技术和程序,以逃避检测。
Emotet银行木马至少自2014年以来一直活跃,该僵尸网络由一个被追踪为TA542的威胁行为者操作。
臭名昭著的特洛伊银行木马也被用来传输其他恶意代码,如Trickbot和QBot特洛伊木马,或勒索软件,如Conti、ProLock、Ryuk和Egregor。
4月,臭名昭著的Emotet僵尸网络的操作员开始测试新的攻击技术,以回应微软在默认情况下禁用Visual Basic for Applications ( VBA )宏的举动。
6月,Proofpoint专家发现了Emotet bot的一个新变种,它使用一个新的模块窃取存储在Chrome网络浏览器中的信用卡信息。
随着时间的推移,Emotet操作员通过使用多个攻击向量来加强其攻击链,以保持在雷达下。
VMware Threat Analysis Unit ( TAU )发布的报告中写道:”基于一种新的相似性度量,VMware Threat Analysis Unit的聚类分析识别了Emotet攻击的各个阶段,其中有几个初始感染波改变了恶意软件的交付方式。Emotet的执行链正在进行的调整是恶意软件长久以来成功的原因之一。
最近的Emotet活动中使用的攻击链利用垃圾邮件来传递可攻击的Microsoft文档。消息的内容被设计成诱使用户启用恶意宏,从而导致一系列PowerShell命令被执行以下载Emotet负载。威胁行为体使用Emotet交付额外的模块,如TrickBot和QakBot。
2022年1月,VMware威胁分析研究人员观察到了新的Emotet攻击,研究人员将攻击分为三波:
· A -直接通过XL4宏的Emotet有效负载
· B -通过PowerShell的XL4宏的Emotet有效负载
· C -通过PowerShell的Visual Basic Application ( VBA )宏的Emotet有效负载
在2022年1月下旬,一波攻击引入了用于执行Microsoft HTML Application ( HTA )文件的Windows本机实用程序mshta . exe。
研究人员指出,mshta工具与PowerShell一样,都是生活在陆地上的二进制文件( LOLBINs )。
LOLBINs通常被威胁行为体使用,因为它们由微软签署,并被Windows信任。
众所周知Emotet采用模块化结构,它依赖于少数核心模块:
· 核心模块( Emotet有效载荷)从C2服务器下载额外的负载。
· 凭证窃取模块,特别是MailPassView和WebBrowserPassView,用于从Web浏览器和邮件客户端获取凭证。
· 垃圾邮件模块。
· 电子邮件收集模块将电子邮件凭据、联系人列表和电子邮件内容从受感染的PC传输到C2服务器。
· Emotet早期版本中的其他模块包括分布式拒绝服务( DDoS )模块和银行模块。
WMware在他们分析的攻击中观察到以下八个模块:
1.核心模块( Emotet有效载荷)
2.一个垃圾邮件模块
3.雷鸟微处理器电子邮件客户端帐户窃取者
4.Outlook电子邮件客户端帐户窃取程序
5.一名信用卡信息窃取者
6.一个利用SMB协议的扩展器32
7.具有嵌入式MailPassView应用程序的模块
8.一个具有嵌入式WebBrowserPassView应用程序的模块
除了过去看到的已知模块和功能外,该列表还突出显示了我们能够拦截的两个更新模块。这是一个窃取信用卡信息的模块,专门针对谷歌Chrome浏览器,以及一个利用SMB协议的传播模块。
研究人员还通过使用定制技术和工具,允许他们提取样本使用的配置文件,跟踪了Emotet的C2基础设施的演化。
专家使用的数据集包含24,276个唯一的Emotet DLL载荷,其中26.7 %的数据由Excel文档删除。
VMware专家对多个集群和相关C2基础架构进行了跟踪。这些运营商最近被发现运营着两个新的僵尸网络集群,被追踪为Epochs 4和5。
最大的僵尸网络集群(集群0 )包含10,235个样本,占整个数据集的40 %以上,时间跨度近3个月,属于Epoch 5的C2服务器。
研究人员还分析了用于承载Emotet模块的服务器的IP地址的地理分布。大部分模块在印度(超过26 %)托管,其次是韩国、泰国和加纳。
专家建议推广感知和培训计划,实施网络分割,采用网络检测和响应( Network Detection and Response,NDR ),实施零信任模型,扫描网络工件,实施稳健的密码策略和最佳实践。
