Sürekli ortaya çıkan meşhur kötü kuruş gibi, Emotet kötü amaçlı yazılım operasyonu, bu kez yaklaşık üç aylık bir aradan sonra yeniden ortaya çıktı.
Güvenlik araştırmacıları bu hafta, grubun bir kez daha her yerdeki kuruluşlar için bir tehdit oluşturduğunu ve Emotet ile ilişkili kötü niyetli e-posta etkinliğinin 7 Mart’ta yeniden başladığını kaydetti. , böylece alıcıların içeriklerine güvenme olasılığı daha yüksektir. Bazı Emotet e-postaları da yeni mesajlar olarak geliyor.
Çok Büyük Dosya ve Yük
E-postalar, açıldığında kullanıcıdan kötü amaçlı bir makroyu etkinleştirmesini isteyen bir Word belgesi sunan bir .zip eki içerir. Etkinleştirilirse makro, Emotet’in yeni bir sürümünü harici bir siteden indirir ve bunu makinede yerel olarak yürütür.
Yeni kötü amaçlı etkinliği gözlemleyen Cofense ve Hornet Security’den araştırmacılar, Word belgelerinin ve kötü amaçlı yükün boyutunun şişirilmiş ve her birinin 500 MB’tan fazla geldiğini açıkladılar. Araştırmacılar, genel olarak, faaliyet hacminin 7 Mart başından bu yana değişmediğini ve tüm e-postaların ek tabanlı spam olduğunu söyledi.
Cofense’de kıdemli araştırma mühendisi olan Jason Muerer, “Gördüğümüz kötü niyetli Office belgeleri ve Emotet DLL’leri çok büyük dosyalar,” diyor. “Henüz e-postalarla herhangi bir bağlantı gözlemlemedik.”
Hornet Security, büyük dosya ve yük boyutlarını, grubun kötü amaçlı yazılımı uç nokta algılama ve yanıt (EDR) araçlarından geçirmeye yönelik olası bir girişimi olarak tanımladı. Hornet araştırmacıları tarafından yapılan bir gönderiye göre, “Emot’un en son yinelemesi, yalnızca büyük dosyaların ilk baytlarını tarayan veya büyük dosyaları tamamen atlayan güvenlik taramalarını atlamak için çok büyük dosyalar kullanıyor.” “Bu yeni bulut sunucusu şu anda yavaş çalışıyor, ancak Güvenlik Laboratuvarımız bunun toparlanmasını bekliyor.”
Ölmeyi Reddeden Bir Kötü Amaçlı Yazılım
Emotet, ilk olarak 2014 yılında bir bankacılık Truva Atı olarak ortaya çıkan bir kötü amaçlı yazılım tehdididir. Yazarları – çeşitli şekillerde Mealbug, Mummy Spider ve TA542 olarak izlenir – yıllar içinde, eski bankacılık Truva Atı’nı diğer tehditlerden daha gelişmiş ve kazançlı bir kötü amaçlı yazılım dağıtım aracına dönüştürdüler. aktörler farklı kötü amaçlı yükler iletmek için kullanabilirler. Bu yükler, son yıllarda Ryuk, Conti ve Trickbot gibi oldukça üretken fidye yazılımı türlerini içermektedir.
Tehdit aktörlerinin Emotet’i iletmek için tercih ettiği mod, kullanıcıların ekli dosyaları açmasını veya kötü amaçlı yazılım dağıtım sitelerine gömülü bağlantıları tıklamasını sağlamak için hazırlanmış spam e-postalar ve kimlik avı yoluyla olmuştur. Tehdit aktörü bir sistemin güvenliğini ihlal ettiğinde, Emotet veri çalmak, fidye yazılımı yüklemek veya finansal verileri çalmak gibi diğer kötü amaçlı faaliyetler için sistemdeki diğer kötü amaçlı yazılımları indirmek için kullanılır. Emotet’in komuta ve kontrol altyapısı (C2) şu anda güvenlik satıcılarının epoch 4 (E4) ve epoch 5 (E5) olarak belirlediği iki ayrı botnet üzerinde çalışmaktadır.
2021’in başlarında, birden fazla ülkeden kolluk kuvvetleri, büyük bir işbirlikçi çabayla Emotet’in altyapısını bozdu ve bu, tehdit aktörünün hizmet olarak kötü amaçlı yazılımına devam etmesini engellemeye pek yardımcı olmadı. O sırada ABD Adalet Bakanlığı, Emotet operatörlerinin Nisan 2020 ile Ocak 2021 arasında dünya çapında 1,6 milyondan fazla bilgisayar içerdiğini değerlendirdi. Kurbanlar arasında sağlık, devlet, bankacılık ve akademi sektörlerindeki kuruluşlar da vardı.
Yeni Etkinlik, Aynı Taktikler
Ekim 2022’de VMware’deki güvenlik araştırmacıları tarafından Emotet tehdit grubuna yönelik bir analiz, grubun büyük çapta yasa uygulamalarının kaldırılmasından sonra faaliyet göstermeye devam etmesinin birçok nedenini belirledi. Bunlar, daha karmaşık ve ince yürütme zincirlerini, yapılandırmasını gizlemek için sürekli gelişen yöntemleri ve C2 altyapısı için sağlamlaştırılmış bir ortam kullanmayı içeriyordu.
Muerer, “Emotet, bir dizi ikincil yük sağlamak için kullanıldı” diyor. “Geçmişte ağırlıklı olarak diğer kötü amaçlı yazılım ailelerini dağıtırken, bu aktörler için mevcut oyunun sonunun muhtemelen fidye yazılımına odaklanacağına dair kanıtlar var.”
Muerer, yeni Emotet etkinliği hakkında, tehdit grubunun herhangi bir yeni taktik veya teknik kullandığını gösteren hiçbir şey olmadığını söylüyor. E-posta dizisini ele geçirme taktiği ve makro özellikli Word belgeleri, operatörlerin bir süredir kullandığı taktiklerdir. Ve her zaman olduğu gibi, birincil bulaşma vektörü spam ve kimlik avı e-postaları olmaya devam ediyor.
Muerer, “Bildiğimiz kadar büyük bir değişiklik olmadı” diyor. “Emotet, küçük işletmeler ve bireyler üzerinde orantısız bir şekilde yüksek etkisi ile herkes için bir tehdit olmaya devam ediyor.”