经过近两个月的沉寂,Emotet僵尸网络带着更新的有效负载和每天攻击100,000个目标的活动回来了。Emotet于2014年开始作为银行木马,并继续发展成为一个成熟的威胁传递机制。它可以在受害机器上安装一系列恶意软件,包括信息窃取程序、电子邮件抓取程序、自我传播机制和勒索软件。上一次出现是在10月,这次袭击主要针对民主党全国委员会(DNC)的志愿者;在此之前,它在暂停活动五个月后于7月再次活跃,并开始投放Trickbot木马。在2月初的一次攻击中看到了它,该攻击伪造了来自受害者银行的短信。“Emotet僵尸网络是最活跃的恶意电子邮件发件人之一,但它通常处于休眠状态数周或数月,”Cofense研究员BradHaas在周二的博客文章中说。“今年,有一次这样的休眠从2月持续到7月中旬,这是Cofense在过去几年中看到的最长的一次。从那时起,他们观察到Emotet的常规活动一直持续到10月底,但没有任何进展从那时到今天收到。”研究人员表示,僵尸网络的有效载荷保持不变,没有发生变化。“10月份,最常见的有效载荷是TrickBot、Qakbot和ZLoader;今天我们观察TrickBot,”Haas说。TrickBot恶意软件是一种众所周知的复杂木马,于2016年首次作为银行恶意软件开发-与Emotet一样,它在过去改变了自身并添加了新功能以逃避检测或增强其行为的感染能力。感染TrickBot特洛伊木马的用户将看到他们的设备成为攻击者用来加载第二阶段恶意软件的僵尸网络的一部分——研究人员称这是“几乎任何其他恶意软件负载的理想投放器”。TrickBot感染的典型后果是银行账户接管、电汇欺诈和勒索软件攻击。它最近实现了检查目标系统的UEFI/BIOS固件的能力。在微软和其他公司在10月份对该恶意软件的基础设施进行研究后,它卷土重来。几家安全公司已经发现了最新的攻击活动,Proofpoint通过推特指出:“我们看到了超过100,000条英语、德语、西班牙语、意大利语和其他语言的消息。攻击的诱饵主要使用Word附件的线程劫持,是受密码保护的压缩文件和恶意URL。”线程劫持是Emotet在秋季加入的一种攻击方式,由PaloAltoNetworks的研究人员发现,操作者会在邮件中植入病毒以回复来自目标的真实邮件,这样收件人就没有理由认为邮件是恶意的Proofpoint威胁研究和检测高级主管SherrodDeGrippo告诉Threatpost,本周的活动对于Emotet来说是相当正常的。“我们的团队仍在审核新样本,到目前为止我们只发现了非常小的变化。”例如,Emotet的形式现在被制成DLL而不是.exe,”DeGrippo说。“当Emotet发起攻击时,我们通常观察到每天发送数十万封电子邮件。这场运动与他们的没有什么不同。随着这些攻击的进行,我们正在实时更新计数。这些攻击的活动量与过去的其他活动相似,一般每天大约10万到50万次。”她补充说,这次活动最有趣的地方在于时间安排。“我们通常会看到Emotet在12月24日至早些时候停止攻击1月,”她指出。“如果他们一直这样做,那么这次最新的攻击对他们来说将是非常短暂和不寻常的。”启用宏的社会工程攻击。这还包括使用以COVID-19为主题的鱼饵。研究人员还观察到Emotet团伙加载带有虚假错误消息的有效负载。Haas的Cofense团队观察到了同样的攻击,并指出这标志着Emotet组。“新的Emotetmaldoc有一个明显的变化,可能是为了防止受害者注意到他们已经被感染,”他说。“该文件仍然包含恶意宏o安装Emotet的代码,并且仍然显示为需要用户启用宏才能打开的“受保护”文档。启用宏时,旧版本不会给出任何可见的响应,这可能会使受害者产生怀疑。新版本会创建一个对话框,提示“Word在尝试打开文件时遇到错误”。这将向用户解释为什么他们没有看到他们期望的内容,并使他们更有可能忽略Emotet已经在后台运行时发生的整个事情。DeGrippo告诉Threatpost,对电子邮件的初步观察表明,一些线程已被劫持,要求收件人打开.zip附件并提供访问密码。研究人员表示,恶意软件的再次出现,虽然与之前的活动没有任何变化,但应该值得管理员注意。“Emotet”最令人担忧的是它与其他犯罪分子联手发起攻击,尤其是勒索软件行业的犯罪分子。据Malwarebytes称,Emotet-TrickBot-Ryuk组合在2018年圣诞节前后造成了严重破坏。“虽然一些网络攻击者也将放假,此时许多公司都在裁员,但这是发起新一轮攻击的绝佳时机。”鉴于疫情的爆发和最近的SolarWinds事件,今年的情况更加危急。我们敦促需要格外警惕的组织继续采取措施保护他们的网络,特别是在安全政策和访问控制方面。“
