Το Emotet malware έχει επιστρέψει για τα καλά και μας θυμίζει ξανά γιατί θεωρούνταν ένα από τα πιο ενεργά και επικίνδυνα κακόβουλα λογισμικά. Tώρα το Emotet εγκαθιστά απευθείας Cobalt Strike beacons στα συστήματα-στόχους, προσφέροντας στους εγκληματίες άμεση πρόσβαση στα δίκτυα και διευκολύνοντας ransomware επιθέσεις.
Το Emotet εξαπλώνεται κυρίως μέσω spam emails που περιέχουν κακόβουλα έγγραφα Word ή Excel. Αυτά τα έγγραφα χρησιμοποιούν μακροεντολές για λήψη και εγκατάσταση του Emotet Trojan στον υπολογιστή του θύματος, το οποίο στη συνέχεια χρησιμοποιείται για την κλοπή email και την ανάπτυξη περαιτέρω κακόβουλου λογισμικού στη συσκευή.
Δείτε επίσης: Το Emotet διαδίδεται μέσω πλαστών πακέτων Adobe Windows App Installer
Σε παλαιότερες επιθέσεις, το Emotet εγκαθιστούσε κυρίως τα TrickBot ή Qbot trojans στις μολυσμένες συσκευές. Αυτά τα Trojans μπορούσαν να αναπτύξουν το Cobalt Strike σε μια μολυσμένη συσκευή ή να εκτελέσουν άλλη κακόβουλη δραστηριότητα.
Chatbot ενθάρρυνε έφηβο να σκοτώσει τους γονείς του
RT-G: Ένα... αστυνομικό ρομπότ στην Κίνα!
Το Black Basta Ransomware εξελίσσεται - Προσοχή!
Το Cobalt Strike είναι ένα νόμιμο penetration testing toolkit που επιτρέπει στους χρήστες να αναπτύξουν “beacons” σε παραβιασμένες συσκευές για να εκτελέσουν απομακρυσμένη παρακολούθηση δικτύου ή να εκτελέσουν περαιτέρω εντολές.
Ωστόσο, το Cobalt Strike είναι, επίσης, πολύ δημοφιλές μεταξύ των εγκληματιών του κυβερνοχώρου που χρησιμοποιούν cracked versions κατά τη διάρκεια παραβιάσεων δικτύων και το χρησιμοποιούν συνήθως για να πραγματοποιήσουν επιθέσεις ransomware.
Το Emotet εγκαθιστά μόνο του το Cobalt Strike στη μολυσμένη συσκευή
Η ερευνητική ομάδα που ασχολείται με την ανάλυση του Emotet, Cryptolaemus, προειδοποιεί ότι το Emotet παρακάμπτει τώρα το κύριο primary malware payload τουTrickBot ή του Qbot και εγκαθιστά απευθείας Cobalt Strike beacons σε μολυσμένες συσκευές.
Σύμφωνα και με μια ειδοποίηση της email security εταιρείας ασφαλείας Cofense στο Bleeping Computer, ένας περιορισμένος αριθμός επιθέσεων Emotet εγκατέστησε το Cobalt Strike σε συσκευές, προσπάθησε να επικοινωνήσει με ένα απομακρυσμένο domain και στη συνέχεια το απεγκατέστησε.
Δείτε επίσης: Το Microsoft Defender τρομάζει τους admins με false positives Emotet
“Σήμερα, ορισμένοι μολυσμένοι υπολογιστές έλαβαν εντολή να εγκαταστήσουν το Cobalt Strike, ένα δημοφιλές post-exploitation εργαλείο“, προειδοποιεί η Cofense.
“Το ίδιο το Emotet συλλέγει περιορισμένο αριθμό πληροφοριών σχετικά με ένα μολυσμένο μηχάνημα, αλλά το Cobalt Strike μπορεί να χρησιμοποιηθεί για την αξιολόγηση ενός ευρύτερου δικτύου ή domain, ενδεχομένως αναζητώντας κατάλληλα θύματα για περαιτέρω μόλυνση, όπως ransomware“.
“Όσο εκτελούνταν το δείγμα Cοbalt Strike, προσπάθησε να επικοινωνήσει με το domain lartmana[.]com. Λίγο αργότερα, το Emotet απεγκατέστησε το εκτελέσιμο Cobalt Strike“.
Η εγκατάσταση του Cobalt Strike από το ίδιο το Emotet είναι μια σημαντική αλλαγή στις τακτικές του malware. Όταν εγκαθιστούσε το TrickBot ή Qbot, τα θύματα είχαν συνήθως λίγο χρόνο για να εντοπίσουν τη μόλυνση πριν από την ανάπτυξη του Cobalt Strike.
Τώρα που αυτά τα αρχικά malware payloads έχουν παρακαμφθεί, οι φορείς απειλών θα έχουν άμεση πρόσβαση σε ένα δίκτυο για να εξαπλωθούν, να κλέψουν δεδομένα και να αναπτύξουν γρήγορα ransomware.
“Αυτό είναι μεγάλη υπόθεση. Συνήθως το Emotet εγκαθιστούσε το TrickBot ή το QakBot, τα οποία με τη σειρά τους εγκαθιστούσαν το Cobalt Strike. Συνήθως θα είχατε περίπου έναν μήνα μεταξύ της πρώτης μόλυνσης και του ransomware. Με το Emotet να εγκαθιστά το CS απευθείας, είναι πιθανό να υπάρξει πολύ μικρότερη καθυστέρηση“, έγραψε ο ερευνητής Marcus Hutchins στο Twitter.
Δείτε επίσης: Ποιες νέες καμπάνιες Emotet εμφανίζονται στα mailbox παγκοσμίως
Αυτή η ταχεία ανάπτυξη του Cobalt Strike από το Emotet πιθανότατα θα επιταχύνει την ανάπτυξη ransomware σε παραβιασμένα δίκτυα.
Η Cofense λέει ότι δεν είναι σαφές εάν πρόκειται για δοκιμή, που χρησιμοποιείται από τους χειριστές του Emotet για την παρακολούθηση δικτύων ή αν είναι μέρος μιας αλυσίδας επιθέσεων για άλλες “οικογένειες malware” που συνεργάζονται με το botnet.
Οι ερευνητές θα παρακολουθούν στενά αυτήν τη νέα εξέλιξη.
Πηγή: Bleeping Computer