Sofistike bir saldırı geçmişine sahip kötü şöhretli bir bankacılık truva atı tabanlı kötü amaçlı yazılım ailesi olan Emotet, hedeflenen kimlik avı e-postalarını kullanan XLS belgeleri aracılığıyla yeni bir saldırı türüyle geri dönüyor ve yeni IcedID ve Bumblebee yüklerini sunuyor.
Emotet, yıl içinde altyapısını oluşturdu ve 2021’in sonlarında agresif atağına başladı ve kısa sürede oldukça aktif hale geldi.
Emotet, 2014’ten bu yana uzun süredir kapladığı alan ve agresif dağıtım yöntemi nedeniyle kötü amaçlı yazılım araştırma topluluğu arasında bir tür kötü amaçlı yazılım ailesi olarak kabul ediliyor ve TA542 APT saldırganları, Emotet kötü amaçlı yazılımının arkasında.
Eğitim kurumları, hükümet, savunma, BT, Telekom dahil olmak üzere çeşitli sektörlerden ve ayrıca dünya çapında milyonlarca kişiden hassas ve özel bilgileri çalmak için geliştirilmiştir.
Proofpoint’ten araştırmacılar, Emotet’in sürekli olarak yüksek hacimli e-postalar başlattığını ve yeni TTP’ler kullanarak hedefleri daha fazla coğrafyaya genişlettiğini gözlemledi.
İşte yeni Emotet gerinim davranışı:
- Yeni Excel eki görsel cazibeleri
- Emotet ikili dosyasındaki değişiklikler
- Emotet tarafından bırakılan IcedID yükleyici, yükleyicinin hafif yeni bir versiyonudur
- Raporlar IcedID’ye ek olarak Bumblebee düştü
Emotet Bulaşma Süreci:
Yeni başlatılan Emotet kampanyasının her gün yüz binlerce kötü amaçlı e-posta gönderdiği gözlemlendi ve tarihi girişimler, geçen Nisan ayında ani artış gösteren milyonlarca e-postaydı.
Bu son kampanyanın yüksek hacimli e-posta saldırıları, Amerika Birleşik Devletleri, Birleşik Krallık, Japonya, Almanya, İtalya, Fransa, İspanya, Meksika, Brezilya ve daha fazlasını içeren birçok ülkeyi hedef aldı.
Daha fazla analiz, e-postanın kötü amaçlı bir ek ile geldiğini ortaya koyuyor ve TA542 grubunun, gömülü bir Excel dosyası içeren parola korumalı Zip ile birlikte bu toplu e-posta kampanyasında başlatıldığına inanılıyor.
Excel dosyası, kullanıcıları kandırarak ve birkaç yerleşik URL’den Emotet yükünü indirerek etkinleştirilebilen makroları içerir.
İlginç bir kısım, dosyanın kurbanlara dosyayı bir Microsoft Office Şablonu konumuna kopyalayıp oradan çalıştırması için talimatlar içermesidir.
Bu işaret edilen konum oldukça güvenilir olduğundan, dosyaların bu belirli konumdan açılması, herhangi bir uyarı ve müdahale olmaksızın makroların anında yürütülmesine neden olur.
Ancak burada bir kontrol, işletim sisteminin, yöneticiye daha fazla hareket için izin vermek üzere kullanıcıları kesintiye uğratmasıdır.
“Bu tekniğin ne kadar etkili olduğu belirsizliğini koruyor. Proofpoint araştırmacıları, artık kullanıcıların fazladan bir tıklamayla makroları etkinleştirmesine gerek kalmasa da, bunun yerine bir dosya taşıma, iletişim kutusunu onaylama ve kullanıcının Yönetici ayrıcalıklarına sahip olması gerektiğini söyledi.
Nispeten, Emotet, botnet’te aşağıdakiler arasında oldukça az fark olduğunu bildirdi:
- Yeni komutlar
- İletişim döngüsünün yeni uygulaması
- Yeni check-in paket formatı
- Yeni paketleyici kullanıldı
Enfeksiyon sonrası dönemde Emotet, yepyeni ve geliştirme aşamasında olduğuna inanılan IcedID yükleyicinin yeni varyantını sunar.
IcedID, birinci aşamanın ikinci aşamayı indirme isteğini başlattığı iki aşamalı kötü amaçlı yazılım olarak gözlemlendi. Ayrıca standart IceID kötü amaçlı yazılımı, C2 yükleyicisine yapılan istekte tanımlama bilgileri aracılığıyla sistem bilgilerini sızdırmak için geliştirilmiştir.
“IcedID’yi bırakan Emotet, diğer kötü amaçlı yazılım aileleri için bir dağıtım ağı görevi görerek Emotet’in yeniden tam işlevselliğe sahip olduğunu gösteriyor.
TA542’nin IcedID’nin teslimiyle aynı zamana denk gelen dönüşü endişe verici. Araştırmacılar, IcedID’nin daha önce Emotet enfeksiyonlarına yönelik bir takip yükü olarak gözlemlendiğini söyledi.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin