Вредоносное ПО Emotet возвращается и восстанавливает свой ботнет с помощью TrickBot

20
Иранские хакеры разоблачены в ходе целенаправленной кампании шпионажа

Вредоносное ПО Emotet в прошлом считалось наиболее распространенным вредоносным ПО, которое использовало спам-кампании и вредоносные вложения для распространения вредоносного ПО.

Затем Emotet будет использовать зараженные устройства для проведения других спам-кампаний и установки других полезных нагрузок, таких как вредоносное ПО QakBot (Qbot) и Trickbot. Эти полезные данные затем будут использоваться для предоставления первоначального доступа злоумышленникам для развертывания программ-вымогателей, включая Ryuk, Conti, ProLock, Egregor и многие другие.

В начале года международная правоохранительная операция, координируемая Европолом и Евроюстом, захватила инфраструктуру Emotet и арестовала двух человек.

Немецкие правоохранительные органы использовали инфраструктуру для доставки модуля Emotet, который удалил вредоносное ПО с зараженных устройств 25 апреля 2021 года.

Emotet возвращается после операции правоохранительных органов

Сегодня исследователи из Cryptolaemus , GData и Advanced Intel начали замечать, что вредоносная программа TrickBot сбрасывает загрузчик для Emotet на зараженные устройства.

Если раньше Emotet устанавливал TrickBot, то теперь злоумышленники используют метод, получивший название «Operation Reacharound», для восстановления ботнета Emotet с использованием существующей инфраструктуры TrickBot.

Эксперт Emotet и исследователь Cryptolaemus Джозеф Роузен сообщил BleepingComputer, что они не видели никаких признаков того, что ботнет Emotet рассылает спам, и не обнаружили каких-либо вредоносных документов, отбрасывающих вредоносное ПО.

Такое отсутствие активности рассылки спама, вероятно, связано с перестройкой инфраструктуры Emotet с нуля и кражей новых электронных писем с цепочкой ответов у жертв в будущих спам-кампаниях.

Исследовательская группа Emotet Cryptolaemus начала анализ нового загрузчика Emotet и сообщила BleepingComputer, что он включает новые изменения по сравнению с предыдущими вариантами.

«Пока мы можем точно подтвердить, что буфер команд изменился. Теперь есть 7 команд вместо 3-4. Похоже, это различные варианты выполнения для загруженных двоичных файлов (поскольку это не только dll)», — сказали BleepingComputer исследователи Cryptolaemus.

Виталий Кремез из Advanced Intel также проанализировал новый дроппер Emotet и предупредил, что возрождение вредоносного ботнета, вероятно, приведет к всплеску заражений программами-вымогателями.

«Это ранний признак возможной надвигающейся вредоносной активности Emotet, которая подпитывает крупные операции с программами-вымогателями во всем мире, учитывая нехватку экосистемы массовых загрузчиков», — сказал Кремез в беседе с BleepingComputer.

«Это также говорит нам о том, что удаление Emotet не помешало злоумышленникам получить сборщик вредоносных программ и настроить серверную систему, чтобы вернуть его к жизни».

Образцы загрузчика Emotet, сброшенного с помощью TrickBot, можно найти в Urlhaus .

Кремез сообщил BleepingComputer, что текущая DLL-загрузчик Emotet имеет метку времени компиляции «6191769A (вс, 14 ноября, 20:50:34 2021)».

Защита от нового ботнета Emotet

Некоммерческая организация по отслеживанию вредоносных программ Abuse.ch опубликовала список серверов управления и контроля, используемых новым ботнетом Emotet, и настоятельно рекомендует администраторам сети заблокировать соответствующие IP-адреса.

К сожалению, новая инфраструктура Emotet быстро растет: более 246 зараженных устройств уже действуют как серверы управления и контроля.

Сетевым администраторам настоятельно рекомендуется заблокировать все связанные IP-адреса, чтобы их устройства не попадали в недавно реформированный ботнет Emotet.

Последнее обновление 9 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии