-
09/04/2020
-
93
-
600 bài viết
Kỹ thuật phát tán và lẩn trốn của Emotet trong các cuộc tấn công gần đây
Theo nghiên cứu mới từ VMware, kẻ tấn công bằng mã độc Emotet khét tiếng đang liên tục thay đổi chiến thuật và cơ sở hạ tầng lệnh và điều khiển (C2) để không bị phát hiện.
Cha đẻ của Emotet là băng đảng MummySpider (hay TA542). Phần mềm độc hại xuất hiện vào tháng 6 năm 2014 như một trojan ngân hàng trước khi tiến hóa thành loader vào năm 2016. Nó có khả năng phân phối các payload trong giai đoạn hai của cuộc tấn công như một ransomware.
Mặc dù cơ sở hạ tầng của mạng botnet đã bị gỡ xuống vào tháng 1 năm 2021, Emotet đã hồi sinh vào tháng 11 năm 2021 qua một phần mềm độc hại khác gọi là TrickBot.
Điều này làm bàn đạp mở đường cho các sự cố lây nhiễm Cobalt Strike và gần đây là các cuộc tấn công ransomware liên quan đến Quantum và BlackCat.
Các nhà nghiên cứu của VMware (TAU) cho biết: “Sự thích ứng liên tục của chuỗi thực thi Emotet là một trong những nguyên nhân khiến phần mềm độc hại này tồn tại trong thời gian dài".
Những cuộc xâm nhập này thường do người dùng mở hoặc click vào tin nhắn rác có chứa tài liệu hoặc nhúng URL độc hại.
Riêng trong tháng 1 năm 2022, các chuyên gia đã quan sát thấy 3 cuộc tấn công khác nhau, trong đó payload Emotet lây nhiễmthông qua macro Excel 4.0 (XL4), macro XL4 với PowerShell và macro Visual Basic Application (VBA) với PowerShell.
Một số vòng đời lây nhiễm cũng đáng chú ý khi lạm dụng tệp thực thi có tên mshta.exe để khởi chạy tệp HTA độc hại và sau đó nhúng phần mềm độc hại Emotet.
Phân tích kỹ khoảng 25.000 mẫu Emotet DLL riêng biệt thì có 26.7% trong số này nằm trong các tài liệu Excel. Có tới 139 chuỗi chương trình đặc biệt đã được xác định.
Sự quay lại của Emotet cũng đánh dấu sự thay đổi trong cơ sở hạ tầng C2, khi kẻ tấn công vận hành hai cụm botnet mới có tên Epochs 4 và 5. Trước khi gỡ xuống, hoạt động Emotet đã chạy trên 3 mạng botnet riêng biệt là Epochs 1, 2 và 3.
10,235 payload Emotet bị phát hiện từ ngày 15 tháng 3 năm 2022 đến ngày 18 tháng 6 năm 2022, đã sử dụng lại các máy chủ C2 thuộc Epoch 5.
Emotet cũng đang phân phối 2 plugin mới. Một plugin được thiết kế để thu thập dữ liệu thẻ tín dụng từ trình duyệt Google Chrome và một mô-đun lây nhiễm sử dụng giao thức SMB để xâm nhập vào các máy ngang hàng trong hệ thống.
Đa số các địa chỉ IP được sử dụng để lưu trữ máy chủ ở Hoa Kỳ, Đức và Pháp. Ngược lại, hầu hết các mô-đun Emotet lại nằm ở Ấn Độ, Hàn Quốc, Thái Lan, Ghana, Pháp và Singapore.
Để bảo vệ khỏi các phần mềm độc hại như Emotet, người dùng nên triển khai phân đoạn mạng, thực thi mô hình Zero Trust và thay thế các cơ chế xác thực mặc định bằng các lựa chọn an toàn hơn.
Cha đẻ của Emotet là băng đảng MummySpider (hay TA542). Phần mềm độc hại xuất hiện vào tháng 6 năm 2014 như một trojan ngân hàng trước khi tiến hóa thành loader vào năm 2016. Nó có khả năng phân phối các payload trong giai đoạn hai của cuộc tấn công như một ransomware.
Điều này làm bàn đạp mở đường cho các sự cố lây nhiễm Cobalt Strike và gần đây là các cuộc tấn công ransomware liên quan đến Quantum và BlackCat.
Các nhà nghiên cứu của VMware (TAU) cho biết: “Sự thích ứng liên tục của chuỗi thực thi Emotet là một trong những nguyên nhân khiến phần mềm độc hại này tồn tại trong thời gian dài".
Những cuộc xâm nhập này thường do người dùng mở hoặc click vào tin nhắn rác có chứa tài liệu hoặc nhúng URL độc hại.
Riêng trong tháng 1 năm 2022, các chuyên gia đã quan sát thấy 3 cuộc tấn công khác nhau, trong đó payload Emotet lây nhiễmthông qua macro Excel 4.0 (XL4), macro XL4 với PowerShell và macro Visual Basic Application (VBA) với PowerShell.
Một số vòng đời lây nhiễm cũng đáng chú ý khi lạm dụng tệp thực thi có tên mshta.exe để khởi chạy tệp HTA độc hại và sau đó nhúng phần mềm độc hại Emotet.
Phân tích kỹ khoảng 25.000 mẫu Emotet DLL riêng biệt thì có 26.7% trong số này nằm trong các tài liệu Excel. Có tới 139 chuỗi chương trình đặc biệt đã được xác định.
Sự quay lại của Emotet cũng đánh dấu sự thay đổi trong cơ sở hạ tầng C2, khi kẻ tấn công vận hành hai cụm botnet mới có tên Epochs 4 và 5. Trước khi gỡ xuống, hoạt động Emotet đã chạy trên 3 mạng botnet riêng biệt là Epochs 1, 2 và 3.
10,235 payload Emotet bị phát hiện từ ngày 15 tháng 3 năm 2022 đến ngày 18 tháng 6 năm 2022, đã sử dụng lại các máy chủ C2 thuộc Epoch 5.
Emotet cũng đang phân phối 2 plugin mới. Một plugin được thiết kế để thu thập dữ liệu thẻ tín dụng từ trình duyệt Google Chrome và một mô-đun lây nhiễm sử dụng giao thức SMB để xâm nhập vào các máy ngang hàng trong hệ thống.
Đa số các địa chỉ IP được sử dụng để lưu trữ máy chủ ở Hoa Kỳ, Đức và Pháp. Ngược lại, hầu hết các mô-đun Emotet lại nằm ở Ấn Độ, Hàn Quốc, Thái Lan, Ghana, Pháp và Singapore.
Để bảo vệ khỏi các phần mềm độc hại như Emotet, người dùng nên triển khai phân đoạn mạng, thực thi mô hình Zero Trust và thay thế các cơ chế xác thực mặc định bằng các lựa chọn an toàn hơn.
Theo Thehackernews
Chỉnh sửa lần cuối: