Emotet снова начинает сбрасывать Cobalt Strike для более быстрых атак.

5 причин использовать хостинг от Hostzealot

Как раз к праздникам печально известная вредоносная программа Emotet снова напрямую устанавливает маяки Cobalt Strike для быстрых кибератак.

Для тех, кто не знаком с Emotet, он считается одним из самых распространенных вредоносных программ и распространяется через фишинговые электронные письма, содержащие вредоносные вложения.

Исторически сложилось так, что после заражения устройства Emotet крадет электронную почту жертвы для использования в будущих кампаниях, а затем сбрасывает вредоносные программы, такие как TrickBot и Qbot.

Однако ранее в этом месяце Emotet начал тестировать установку маяков Cobalt Strike на зараженные устройства вместо их обычных полезных нагрузок.

Cobalt Strike — это законный инструмент для тестирования на проникновение, который злоумышленники обычно используют для распространения в организации и, в конечном итоге, для развертывания программ-вымогателей в сети.

Этот тест был кратким, и вскоре злоумышленники вернулись к распределению своих обычных полезных нагрузок.

Emotet возобновляет установку Cobalt Strike

На прошлой неделе злоумышленники Emotet приостановили свои фишинговые кампании, и с тех пор исследователи не наблюдали никакой дальнейшей активности со стороны группы.

«Спам прекратился на прошлой неделе в четверг, и с тех пор они молчали, и до сегодняшнего дня НИЧЕГО не происходило». Джозеф Роузен из группы Cryptolaemus Emotet рассказал BleepingComputer.

Однако Cryptolaemus теперь предупреждает, что с сегодняшнего дня злоумышленники снова начали устанавливать маяки Cobalt Strike на устройства, уже зараженные Emotet.

Роузен сообщил, что Emotet теперь загружает модули Cobalt Strike непосредственно со своего сервера управления и контроля, а затем выполняет их на зараженном устройстве.

С маяками Cobalt Strike, непосредственно установленными Emotet, злоумышленники, которые используют их для распространения по сети, кражи файлов и развертывания вредоносных программ, получат немедленный доступ к скомпрометированным сетям.

Такой доступ ускорит выполнение атак, а поскольку он будет действовать непосредственно перед праздниками, это может привести к многочисленным нарушениям, поскольку теперь у предприятий ограниченный персонал для отслеживания атак и реагирования на них.

C2-коммуникации замаскированы под jQuery

В образце маяка Cobalt Strike, совместно используемого с BleepingComputer, вредоносная программа будет взаимодействовать с серверами управления и контроля злоумышленника через поддельный файл jquery-3.3.1.min.js.

Поскольку большая часть файла представляет собой законный исходный код jQuery, и изменяется только часть содержимого, он смешивается с легитимным трафиком и упрощает обход программного обеспечения безопасности.

Быстрое развертывание Cobalt Strike через Emotet — важное событие, которое должно быть в центре внимания всех администраторов Windows, сетевых администраторов и специалистов по безопасности.

Ожидается, что с увеличением распространения маяков на уже зараженные устройства мы увидим увеличение количества корпоративных нарушений и, в конечном итоге, атак программ-вымогателей прямо перед праздниками или во время праздников.

Последнее обновление 16.12.2021