ملخص موجز لما حدث مع Emotet منذ عودته في نوفمبر 2021
Emotet هي عائلة برامج ضارة نشطة منذ 2014 ، تديرها مجموعة جرائم إلكترونية تعرف باسم Mealybug أو TA542. على الرغم من أنها بدأت كحصان طروادة مصرفي ، إلا أنها تطورت لاحقًا إلى شبكة الروبوتات التي أصبحت واحدة من أكثر التهديدات انتشارًا في جميع أنحاء العالم. ينتشر Emotet عبر رسائل البريد الإلكتروني العشوائية ؛ يمكنه سرقة المعلومات من أجهزة الكمبيوتر المخترقة وتسليمها برامج ضارة من جهات خارجية إلى أجهزة الكمبيوتر المخترقة. مشغلي Emotet ليسوا دقيقين للغاية بشأن أهدافهم ، حيث يقومون بتثبيت برامجهم الضارة على أنظمة تخص الأفراد وكذلك الشركات والمؤسسات الكبرى.
في يناير 2021 ، كان Emotet هدفًا لـ انهاء الخدمة نتيجة لجهد تعاوني دولي لثمانية دول بتنسيق من يوروجست ويوروبول. ومع ذلك ، على الرغم من هذه العملية ، عاد Emotet إلى الحياة في نوفمبر 2021.
- أطلقت Emotet حملات بريد عشوائي متعددة منذ ظهورها مرة أخرى بعد إزالتها.
- منذ ذلك الحين ، أنشأ Mealybug وحدات نمطية متعددة جديدة وقام عدة مرات بتحديث وتحسين جميع الوحدات الموجودة.
- بذل مشغلو Emotet في وقت لاحق الكثير من الجهد لتجنب مراقبة وتتبع الروبوتات منذ عودتها.
- يعتبر Emotet حاليًا صامتًا وغير نشط ، ويرجع ذلك على الأرجح إلى الفشل في العثور على ناقل هجوم جديد فعال.
الشكل 1. الجدول الزمني لأحداث Emotet المثيرة للاهتمام منذ عودتها
حملات البريد العشوائي
بعد العودة التي أعقبتها حملات بريد عشوائي متعددة في نهاية عام 2021 ، استمرت بداية عام 2022 مع هذه الاتجاهات و سجلنا حملات البريد العشوائي المتعددة التي أطلقها مشغلو Emotet. خلال هذا الوقت ، كان Emotet ينتشر بشكل أساسي عبر مستندات Microsoft Word و Microsoft Excel الخبيثة مع وحدات ماكرو VBA المضمنة.
في يوليو 2022 ، غيرت Microsoft اللعبة لجميع عائلات البرامج الضارة مثل Emotet و Qbot - التي استخدمت رسائل البريد الإلكتروني المخادعة مع المستندات الضارة كطريقة للنشر - عن طريق تعطيل وحدات ماكرو VBA في المستندات التي تم الحصول عليها من الإنترنت. كان هذا التغيير أعلن بواسطة Microsoft في بداية العام وتم نشره في الأصل في أوائل أبريل ، ولكن تم التراجع عن التحديث بسبب ملاحظات المستخدمين. جاء الإصدار النهائي في نهاية يوليو 2022 ، وكما يتضح من الشكل 2 ، أدى التحديث إلى انخفاض كبير في تسويات Emotet ؛ لم نلاحظ أي نشاط كبير خلال صيف عام 2022.
الشكل 2. اتجاه الكشف عن Emotet ، المتوسط المتحرك لسبعة أيام
أدى تعطيل ناقل الهجوم الرئيسي لـ Emotet إلى جعل مشغليها يبحثون عن طرق جديدة لتعريض أهدافهم للخطر. حشرة دقيقة بدأ التجريب باستخدام ملفات LNK و XLL الخبيثة ، ولكن عندما انتهى عام 2022 ، كافح مشغلو Emotet للعثور على متجه هجوم جديد سيكون بنفس فعالية وحدات ماكرو VBA. في عام 2023 ، أجروا ثلاث حملات مميّزة للمسبام ، كل منها يختبر طريقًا مختلفًا قليلاً للتطفل وتقنية الهندسة الاجتماعية. ومع ذلك ، قد يشير تقلص حجم الهجمات والتغييرات المستمرة في النهج إلى عدم الرضا عن النتائج.
حدثت أولى هذه الحملات الثلاث في 8 مارس تقريبًاthفي عام 2023 ، عندما بدأت شبكة Emotet botnet في توزيع مستندات Word ، المقنعة كفواتير ، مع وحدات ماكرو VBA ضارة مضمنة. كان هذا غريبًا تمامًا لأن Microsoft تم تعطيل وحدات ماكرو VBA افتراضيًا ، لذلك لا يمكن للضحايا تشغيل التعليمات البرمجية الضارة المضمنة.
في حملتهم الثانية بين 13 مارسth و18 مارسth، يبدو أن المهاجمين قد أقروا بهذه العيوب ، وبصرف النظر عن استخدام نهج سلسلة الرد ، فقد قاموا أيضًا بالتبديل من وحدات ماكرو VBA إلى ملفات OneNote (ONE) باستخدام نصوص VBScript مضمنة. إذا فتح الضحايا الملف ، فسيتم الترحيب بهم بما يشبه صفحة OneNote المحمية ، ويطلب منهم النقر فوق الزر "عرض" لمشاهدة المحتوى. خلف هذا العنصر الرسومي كان هناك VBScript مخفي ، تم تعيينه لتنزيل Emotet DLL.
على الرغم من تحذير OneNote من أن هذا الإجراء قد يؤدي إلى محتوى ضار ، يميل الأشخاص إلى النقر على مطالبات مماثلة حسب العادة ، وبالتالي يمكنهم السماح للمهاجمين باختراق أجهزتهم.
تم إطلاق الحملة الأخيرة التي لوحظت في القياس عن بعد ESET في 20 مارسth، مع الاستفادة من تاريخ استحقاق ضريبة الدخل القادم في الولايات المتحدة. وتظاهرت رسائل البريد الإلكتروني الخبيثة التي أرسلتها الروبوتات بأنها واردة من مكتب الضرائب الأمريكي (IRS) وحملت ملف أرشيف مرفقًا باسم W-9 form.zip. احتوى ملف ZIP المضمن على مستند Word مع ماكرو VBA ضار مضمن والذي ربما كان على الضحية المقصودة القيام به تمكين. بصرف النظر عن هذه الحملة ، التي تستهدف الولايات المتحدة على وجه التحديد ، لاحظنا أيضًا حملة أخرى باستخدام نهج VBScripts و OneNote المضمنة التي كانت جارية في نفس الوقت.
كما يتضح من الشكل 3 ، فإن معظم الهجمات التي اكتشفتها ESET كانت تستهدف اليابان (43٪) وإيطاليا (13٪) ، على الرغم من أن هذه الأرقام قد تكون متحيزة بسبب قاعدة مستخدمي ESET القوية في هذه المناطق. بعد إزالة هذين البلدين الأوائل (من أجل التركيز على بقية العالم) ، في الشكل 4 ، يمكن ملاحظة أن بقية العالم قد تضرر أيضًا ، حيث احتلت إسبانيا (5٪) المرتبة الثالثة تليها المكسيك (5) ٪) وجنوب إفريقيا (4٪).
الشكل 3. اكتشافات Emotet يناير 2022 - يونيو 2023
الشكل 4. اكتشافات Emotet كانون الثاني (يناير) 2022 - حزيران (يونيو) 2023 (باستثناء اليابان وتكنولوجيا المعلومات)
تعزيز الحماية والتعتيم
بعد ظهوره مرة أخرى ، حصل Emotet على ترقيات متعددة. الميزة الأولى الملحوظة هي أن الروبوتات قد بدلت مخطط التشفير الخاص بها. قبل الإزالة ، استخدم Emotet RSA كمخطط أساسي غير متماثل وبعد الظهور ، بدأت الروبوتات في استخدام تشفير منحنى إهليلجي. في الوقت الحالي ، تأتي كل وحدة Downloader (تسمى أيضًا الوحدة النمطية الرئيسية) مزودة بمفتاحين عامين مضمنين. يستخدم أحدهما لبروتوكول تبادل المفاتيح Diffie Hellman منحنى Elliptic والآخر يستخدم للتحقق من صحة التوقيع - خوارزمية التوقيع الرقمي.
بصرف النظر عن تحديث البرامج الضارة Emotet إلى بنية 64 بت ، قامت Mealybug أيضًا بتنفيذ العديد من عمليات التعتيم الجديدة لحماية وحداتها النمطية. أول تشويش ملحوظ هو التحكم في تدفق التدفق والذي يمكن أن يبطئ التحليل بشكل كبير وتحديد أجزاء مثيرة للاهتمام من الكود في وحدات Emotet.
نفذت البق الدقيقي أيضًا وحسنت تنفيذها للعديد من تقنيات العشوائية ، ومن أبرزها العشوائية لترتيب أعضاء البنية والعشوائية للتعليمات التي تحسب الثوابت (الثوابت مقنعة).
حدث تحديث آخر جدير بالذكر خلال الربع الأخير من عام 2022 ، عندما بدأت الوحدات النمطية في استخدام قوائم انتظار المؤقت. مع هؤلاء ، تم تعيين الوظيفة الرئيسية للوحدات وجزء الاتصال للوحدات النمطية كوظيفة رد اتصال ، والتي يتم استدعاؤها بواسطة خيوط متعددة ويتم دمج كل هذا مع تسوية تدفق التحكم ، حيث تكون قيمة الحالة التي تدير كتلة الكود هي ليتم استدعاؤها مشتركة بين المواضيع. يضيف هذا التعتيم إلى عقبة أخرى في التحليل ويجعل متابعة تدفق التنفيذ أكثر صعوبة.
وحدات جديدة
لتبقى برامج ضارة مربحة وشائعة ، نفذت Mealybug وحدات نمطية متعددة جديدة ، كما هو موضح باللون الأصفر في الشكل 5. تم إنشاء بعضها كآلية دفاعية للروبوتات ، والبعض الآخر لنشر البرامج الضارة بكفاءة أكبر ، وأخيراً وليس آخراً ، وحدة نمطية يسرق المعلومات التي يمكن استخدامها لسرقة أموال الضحية.
الشكل 5. وحدات Emotet الأكثر استخدامًا. كان اللون الأحمر موجودًا قبل الإزالة ؛ ظهر الأصفر بعد العودة
Thunderbird Email Stealer و Thunderbird Contact Stealer
يتم نشر Emotet عبر رسائل البريد الإلكتروني العشوائية وغالبًا ما يثق الناس في رسائل البريد الإلكتروني هذه ، لأن Emotet يستخدم بنجاح تقنية اختطاف سلسلة رسائل البريد الإلكتروني. قبل الإزالة ، استخدم Emotet وحدات نسميها Outlook Contact Stealer و Outlook Email Stealer ، والتي كانت قادرة على سرقة رسائل البريد الإلكتروني ومعلومات الاتصال من Outlook. ولكن نظرًا لعدم استخدام الجميع لبرنامج Outlook ، فقد ركز Emotet أيضًا بعد إزالة التطبيق على تطبيق بريد إلكتروني بديل مجاني - Thunderbird.
قد ينشر Emotet وحدة Thunderbird Email Stealer على الكمبيوتر المخترق ، والذي (كما يوحي الاسم) قادر على سرقة رسائل البريد الإلكتروني. تبحث الوحدة في ملفات Thunderbird التي تحتوي على الرسائل المستلمة (بتنسيق MBOX) وتسرق البيانات من عدة حقول بما في ذلك المرسل والمستلمين والموضوع والتاريخ ومحتويات الرسالة. ثم يتم إرسال جميع المعلومات المسروقة إلى خادم القيادة والتحكم لمزيد من المعالجة.
بالاشتراك مع Thunderbird Email Stealer ، ينشر Emotet أيضًا Thunderbird Contact Stealer ، القادر على سرقة معلومات الاتصال من Thunderbird. تبحث هذه الوحدة أيضًا في ملفات Thunderbird ، وهذه المرة تبحث عن كل من الرسائل المستلمة والمرسلة. الفرق هو أن هذه الوحدة تستخرج المعلومات فقط من ملف بدءًا من:, إلى:, CC: و نسخة إلى: الحقول وينشئ رسمًا بيانيًا داخليًا لمن تواصل مع من ، وأين تكون العقد أشخاصًا ، وهناك ميزة بين شخصين إذا تواصلوا مع بعضهم البعض. في الخطوة التالية ، تطلب الوحدة جهات الاتصال المسروقة - بدءًا من الأشخاص الأكثر ارتباطًا - وترسل هذه المعلومات إلى خادم القيادة والتحكم.
يتم استكمال كل هذا الجهد بوحدتين إضافيتين (كانتا موجودتين بالفعل قبل الإزالة) - وحدة MailPassView Stealer ووحدة Spammer. يسيء MailPassView Stealer استخدام أداة NirSoft شرعية لاستعادة كلمة المرور ويسرق بيانات الاعتماد من تطبيقات البريد الإلكتروني. عندما تتم معالجة رسائل البريد الإلكتروني وبيانات الاعتماد والمعلومات المسروقة حول من هو على اتصال بمن تتم معالجته ، ينشئ Mealybug رسائل بريد إلكتروني ضارة تشبه الرد على المحادثات المسروقة سابقًا ويرسل رسائل البريد الإلكتروني هذه جنبًا إلى جنب مع بيانات الاعتماد المسروقة إلى وحدة مرسلي البريد العشوائي التي تستخدم بيانات الاعتماد هذه لإرسالها الردود الخبيثة على محادثات البريد الإلكتروني السابقة عبر SMTP.
برنامج سرقة بطاقات الائتمان من جوجل كروم
كما يوحي الاسم ، يسرق Google Chrome Credit Card Stealer معلومات حول بطاقات الائتمان المخزنة في متصفح Google Chrome. لتحقيق ذلك ، تستخدم الوحدة مكتبة SQLite3 مرتبطة بشكل ثابت للوصول إلى ملف قاعدة بيانات الويب الموجود عادةً في ٪ LOCALAPPDATA٪ GoogleChromeUser DataDefaultWeb Data. تستعلم الوحدة النمطية عن الجدول بطاقات الائتمان For اسم_من_بطاقة, انتهاء شهر, expiration_yearو Card_number_encrypted، التي تحتوي على معلومات حول بطاقات الائتمان المحفوظة في ملف تعريف Google Chrome الافتراضي. في الخطوة الأخيرة ، يتم فك تشفير القيمة card_number_encrypted باستخدام المفتاح المخزن في ملف ملف٪ LOCALAPPDATA٪ GoogleChromeUser DataLocal State ويتم إرسال جميع المعلومات إلى خادم القيادة والتحكم.
وحدات Systeminfo و Hardwareinfo
بعد وقت قصير من عودة Emotet ، في نوفمبر 2021 ظهرت وحدة جديدة نسميها Systeminfo. تجمع هذه الوحدة معلومات حول النظام المخترق وترسلها إلى خادم القيادة والتحكم. تتكون المعلومات التي تم جمعها من:
- إخراج systeminfo أمر
- إخراج ipconfig / كافة أمر
- إخراج nltest / dclist: أمر (تمت إزالته في أكتوبر 2022)
- قائمة العمليات
- الجهوزية (تم الحصول عليها عبر GetTickCount) بالثواني (تمت إزالته في أكتوبر 2022)
In أكتوبر ٢٠٢٠ أصدر مشغلو Emotet وحدة جديدة أخرى نسميها Hardwareinfo. على الرغم من أنه لا يسرق بشكل حصري المعلومات حول أجهزة الجهاز المخترق ، إلا أنه يعمل كمصدر تكميلي للمعلومات لوحدة Systeminfo. تجمع هذه الوحدة البيانات التالية من الجهاز المخترق:
- اسم الكمبيوتر
- اسم المستخدم
- معلومات إصدار نظام التشغيل ، بما في ذلك أرقام الإصدارات الرئيسية والثانوية
- الدورة ID
- سلسلة العلامة التجارية CPU
- معلومات حول حجم ذاكرة الوصول العشوائي واستخدامها
كلتا الوحدتين لهما غرض أساسي واحد - التحقق مما إذا كان الاتصال يأتي من ضحية تم اختراقها بشكل شرعي أم لا. كان Emotet ، خاصة بعد عودته ، موضوعًا ساخنًا حقًا في صناعة أمن الكمبيوتر وبين الباحثين ، لذلك بذل Mealybug جهودًا كبيرة لحماية أنفسهم من تتبع ومراقبة أنشطتهم. بفضل المعلومات التي جمعتها هاتان الوحدتان اللتان لا تجمعان البيانات فحسب ، بل تحتويان أيضًا على حيل مضادة للتتبع والتحليل ، تم تحسين قدرات Mealybug للتمييز بين الضحايا الحقيقيين من أنشطة الباحثين عن البرامج الضارة أو صناديق الحماية بشكل كبير.
ما هي الخطوة التالية؟
وفقًا لأبحاث ESET والقياس عن بُعد ، كانت حقبتا الروبوتات هادئة منذ بداية أبريل 2023. وحاليًا لا يزال من غير الواضح ما إذا كان هذا هو وقت إجازة آخر للمؤلفين ، أو ما إذا كانوا يكافحون للعثور على ناقل عدوى جديد فعال ، أو إذا هناك شخص جديد يشغل الروبوتات.
على الرغم من أننا لا نستطيع تأكيد الشائعات التي تفيد بأنه تم بيع حقبة واحدة أو كلتيهما من الروبوتات لشخص ما في يناير 2023 ، فقد لاحظنا نشاطًا غير عادي في إحدى تلك الحقبات. احتوى أحدث تحديث لوحدة التنزيل على وظيفة جديدة تسجل الحالات الداخلية للوحدة وتتتبع تنفيذها إلى ملف ج: JSmithLoader (الشكل 6 ، الشكل 7). نظرًا لأن هذا الملف يجب أن يكون موجودًا لتسجيل شيء ما فعليًا ، فإن هذه الوظيفة تبدو وكأنها ناتج تصحيح أخطاء لشخص لا يفهم تمامًا ما تفعله الوحدة وكيف تعمل. علاوة على ذلك ، في ذلك الوقت ، كانت الروبوتات تنشر أيضًا على نطاق واسع وحدات Spammer ، والتي تعتبر أكثر قيمة بالنسبة إلى Mealybug لأنها كانت تستخدم هذه الوحدات تاريخياً فقط على الأجهزة التي اعتبرتها آمنة.
الشكل 6. تسجيل سلوك وحدة التنزيل
الشكل 7. تسجيل سلوك وحدة التنزيل
بغض النظر عن صحة تفسير سبب هدوء الروبوتات الآن ، فقد اشتهرت Emotet بفعاليتها وبذل مشغلوها جهدًا لإعادة بناء الروبوتات وصيانتها وحتى إضافة بعض التحسينات ، لذا تابع مدونتنا لمعرفة ما سيحققه المستقبل نحن.
تقدم ESET Research تقارير استخباراتية خاصة لـ APT وموجزات بيانات. لأية استفسارات حول هذه الخدمة ، قم بزيارة استخبارات التهديدات من إسيت .
شركات النفط العالمية
ملفات
| SHA-1 | اسم الملف | اسم اكتشاف ESET | الوصف |
|---|---|---|---|
| D5FDE4A0DF9E416DE02AE51D07EFA8D7B99B11F2 | N / A | Win64 / Emotet.AL | وحدة Emotet Systeminfo. |
| 1B6CFE35EF42EB9C6E19BCBD5A3829458C856DBC | N / A | Win64 / Emotet.AL | وحدة Emotet Hardwareinfo. |
| D938849F4C9D7892CD1558C8EDA634DADFAD2F5A | N / A | Win64 / Emotet.AO | وحدة Emotet Google Chrome Credit Card Stealer. |
| 1DF4561C73BD35E30B31EEE62554DD7157AA26F2 | N / A | Win64 / Emotet.AL | وحدة Emotet Thunderbird Email Stealer. |
| 05EEB597B3A0F0C7A9E2E24867A797DF053AD860 | N / A | Win64 / Emotet.AL | وحدة Emotet Thunderbird Contact Stealer. |
| 0CEB10940CE40D1C26FC117BC2D599C491657AEB | N / A | Win64 / Emotet.AQ | وحدة Emotet Downloader ، إصدار مع تشويش قائمة انتظار المؤقت. |
| 8852B81566E8331ED43AB3C5648F8D13012C8A3B | N / A | Win64 / Emotet.AL | وحدة Emotet Downloader ، إصدار x64. |
| F2E79EC201160912AB48849A5B5558343000042E | N / A | Win64 / Emotet.AQ | وحدة Emotet Downloader ، إصدار مع سلاسل التصحيح. |
| CECC5BBA6193D744837E689E68BC25C43EDA7235 | N / A | Win32 / Emotet.DG | وحدة Emotet Downloader ، إصدار x86. |
شبكة
| IP | نطاق | مزود استضافة | الروية الأولى | التفاصيل |
|---|---|---|---|---|
| 1.234.2 [.] 232 | N / A | اس كيه برودباند كو المحدودة | N / A | N / A |
| 1.234.21 [.] 73 | N / A | اس كيه برودباند كو المحدودة | N / A | N / A |
| 5.9.116 [.] 246 | N / A | شركة هيتزنر أونلاين المحدودة | N / A | N / A |
| 5.135.159 [.] 50 | N / A | OVS ساس | N / A | N / A |
| 27.254.65 [.] 114 | N / A | شركة CS LOXINFO العامة المحدودة. | N / A | N / A |
| 37.44.244 [.] 177 | N / A | Hostinger الدولية المحدودة | N / A | N / A |
| 37.59.209 [.] 141 | N / A | دور إساءة- C | N / A | N / A |
| 37.187.115 [.] 122 | N / A | OVS ساس | N / A | N / A |
| 45.71.195 [.] 104 | N / A | NET ALTERNATIVA PROVEDOR DE INTERNET LTDA - ME | N / A | N / A |
| 45.79.80 [.] 198 | N / A | Linode | N / A | N / A |
| 45.118.115 [.] 99 | N / A | أسيب بامبانج جوناوان | N / A | N / A |
| 45.176.232 [.] 124 | N / A | CABLE Y TELECOMUNICACIONES DE COLOMBIA SAS (CABLETELCO) | N / A | N / A |
| 45.235.8 [.] 30 | N / A | WIKINET TELECOMUNICAES | N / A | N / A |
| 46.55.222 [.] 11 | N / A | DCC | N / A | N / A |
| 51.91.76 [.] 89 | N / A | OVS ساس | N / A | N / A |
| 51.161.73 [.] 194 | N / A | OVS ساس | N / A | N / A |
| 51.254.140 [.] 238 | N / A | دور إساءة- C | N / A | N / A |
| 54.37.106 [.] 167 | N / A | OVS ساس | N / A | N / A |
| 54.37.228 [.] 122 | N / A | OVS ساس | N / A | N / A |
| 54.38.242 [.] 185 | N / A | OVS ساس | N / A | N / A |
| 59.148.253 [.] 194 | N / A | مضيف CTINETS | N / A | N / A |
| 61.7.231 [.] 226 | N / A | شبكة IP- شبكة CAT Telecom | N / A | N / A |
| 61.7.231 [.] 229 | N / A | Authoity الاتصالات في تايلاند ، CAT | N / A | N / A |
| 62.171.178 [.] 147 | N / A | شركة كونتابو المحدودة | N / A | N / A |
| 66.42.57 [.] 149 | N / A | شركة كونستانت ، ذ | N / A | N / A |
| 66.228.32 [.] 31 | N / A | Linode | N / A | N / A |
| 68.183.93 [.] 250 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 72.15.201 [.] 15 | N / A | شركة Flexential Colorado Corp. | N / A | N / A |
| 78.46.73 [.] 125 | N / A | Hetzner Online GmbH - دور الاتصال ، ORG-HOA1-RIPE | N / A | N / A |
| 78.47.204 [.] 80 | N / A | شركة هيتزنر أونلاين المحدودة | N / A | N / A |
| 79.137.35 [.] 198 | N / A | OVS ساس | N / A | N / A |
| 82.165.152 [.] 127 | N / A | 1 & 1 IONOS SE | N / A | N / A |
| 82.223.21 [.] 224 | N / A | ايونوس اس اي | N / A | N / A |
| 85.214.67 [.] 203 | N / A | ستراتو إيه جي | N / A | N / A |
| 87.106.97 [.] 83 | N / A | ايونوس اس اي | N / A | N / A |
| 91.121.146 [.] 47 | N / A | OVS ساس | N / A | N / A |
| 91.207.28 [.] 33 | N / A | شركة اوبتيما للاتصالات المحدودة | N / A | N / A |
| 93.104.209 [.] 107 | N / A | إم نت | N / A | N / A |
| 94.23.45 [.] 86 | N / A | OVS ساس | N / A | N / A |
| 95.217.221 [.] 146 | N / A | شركة هيتزنر أونلاين المحدودة | N / A | N / A |
| 101.50.0 [.] 91 | N / A | PT. بيون إنترميديا | N / A | N / A |
| 103.41.204 [.] 169 | N / A | نظام إنفينيس بي تي إندونيسيا | N / A | N / A |
| 103.43.75 [.] 120 | N / A | مدير Choopa LLC | N / A | N / A |
| 103.63.109 [.] 9 | N / A | نغوين نهو ثانه | N / A | N / A |
| 103.70.28 [.] 102 | N / A | نجوين ثي أوانه | N / A | N / A |
| 103.75.201 [.] 2 | N / A | IRT-CDNPLUSCOLTD-TH | N / A | N / A |
| 103.132.242 [.] 26 | N / A | شبكة ايشان | N / A | N / A |
| 104.131.62 [.] 48 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 104.168.155 [.] 143 | N / A | هوستويندز ذ.م.م. | N / A | N / A |
| 104.248.155 [.] 133 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 107.170.39 [.] 149 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 110.232.117 [.] 186 | N / A | راككورب | N / A | N / A |
| 115.68.227 [.] 76 | N / A | سمايلسيرف | N / A | N / A |
| 116.124.128 [.] 206 | N / A | آي آر تي-كرنيك-KR | N / A | N / A |
| 116.125.120 [.] 88 | N / A | آي آر تي-كرنيك-KR | N / A | N / A |
| 118.98.72 [.] 86 | N / A | PT Telkom Indonesia APNIC إدارة الموارد | N / A | N / A |
| 119.59.103 [.] 152 | N / A | 453 لادبلاكوت جوراخايبوا | N / A | N / A |
| 119.193.124 [.] 41 | N / A | مدير IP | N / A | N / A |
| 128.199.24 [.] 148 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 128.199.93 [.] 156 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 128.199.192 [.] 135 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 129.232.188 [.] 93 | N / A | زينيلو (بي تي واي) المحدودة | N / A | N / A |
| 131.100.24 [.] 231 | N / A | EVEO SA | N / A | N / A |
| 134.122.66 [.] 193 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 139.59.56 [.] 73 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 139.59.126 [.] 41 | N / A | مدير شركة Digital Ocean Inc | N / A | N / A |
| 139.196.72 [.] 155 | N / A | هانغتشو علي بابا للدعاية والإعلان المحدودة. | N / A | N / A |
| 142.93.76 [.] 76 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 146.59.151 [.] 250 | N / A | OVS ساس | N / A | N / A |
| 146.59.226 [.] 45 | N / A | OVS ساس | N / A | N / A |
| 147.139.166 [.] 154 | N / A | شركة علي بابا (الولايات المتحدة) للتكنولوجيا المحدودة. | N / A | N / A |
| 149.56.131 [.] 28 | N / A | OVS ساس | N / A | N / A |
| 150.95.66 [.] 124 | N / A | مدير GMO Internet Inc | N / A | N / A |
| 151.106.112 [.] 196 | N / A | Hostinger الدولية المحدودة | N / A | N / A |
| 153.92.5 [.] 27 | N / A | Hostinger الدولية المحدودة | N / A | N / A |
| 153.126.146 [.] 25 | N / A | آي آر تي-JPNIC-JP | N / A | N / A |
| 159.65.3 [.] 147 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 159.65.88 [.] 10 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 159.65.140 [.] 115 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 159.69.237 [.] 188 | N / A | Hetzner Online GmbH - دور الاتصال ، ORG-HOA1-RIPE | N / A | N / A |
| 159.89.202 [.] 34 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 160.16.142 [.] 56 | N / A | آي آر تي-JPNIC-JP | N / A | N / A |
| 162.243.103 [.] 246 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 163.44.196 [.] 120 | N / A | GMO-Z com NetDesign Holdings Co.، Ltd. | N / A | N / A |
| 164.68.99 [.] 3 | N / A | شركة كونتابو المحدودة | N / A | N / A |
| 164.90.222 [.] 65 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 165.22.230 [.] 183 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 165.22.246 [.] 219 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 165.227.153 [.] 100 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 165.227.166 [.] 238 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 165.227.211 [.] 222 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 167.172.199 [.] 165 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 167.172.248 [.] 70 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 167.172.253 [.] 162 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 168.197.250 [.] 14 | N / A | عمر أنسيلمو ريبول (TDC NET) | N / A | N / A |
| 169.57.156 [.] 166 | N / A | SOFTLAYER | N / A | N / A |
| 172.104.251 [.] 154 | N / A | سحابة Akamai المتصلة | N / A | N / A |
| 172.105.226 [.] 75 | N / A | سحابة Akamai المتصلة | N / A | N / A |
| 173.212.193 [.] 249 | N / A | شركة كونتابو المحدودة | N / A | N / A |
| 182.162.143 [.] 56 | N / A | آي آر تي-كرنيك-KR | N / A | N / A |
| 183.111.227 [.] 137 | N / A | كوريا للاتصالات | N / A | N / A |
| 185.4.135 [.] 165 | N / A | ENARTIA Single Member SA | N / A | N / A |
| 185.148.168 [.] 15 | N / A | دور إساءة- C | N / A | N / A |
| 185.148.168 [.] 220 | N / A | دور إساءة- C | N / A | N / A |
| 185.168.130 [.] 138 | N / A | شهادة عدم ممانعة GigaCloud | N / A | N / A |
| 185.184.25 [.] 78 | N / A | MUV Bilisim ve Telekomunikasyon Hizmetleri Ltd. Sti. | N / A | N / A |
| 185.244.166 [.] 137 | N / A | جان فيليب فالديكر يتداول باسم أنظمة LUMASERV | N / A | N / A |
| 186.194.240 [.] 217 | N / A | SEMPER TELECOMUNICACOES LTDA | N / A | N / A |
| 187.63.160 [.] 88 | N / A | مزود BITCOM DE SERVICOS DE INTERNET LTDA | N / A | N / A |
| 188.44.20 [.] 25 | N / A | شركة لخدمات الاتصالات A1 Makedonija DOOEL Skopje | N / A | N / A |
| 190.90.233 [.] 66 | N / A | INTERNEXA Brasil Operadora de Telecomunicações SA | N / A | N / A |
| 191.252.103 [.] 16 | N / A | Locaweb Serviços de Internet S / A | N / A | N / A |
| 194.9.172 [.] 107 | N / A | دور إساءة- C | N / A | N / A |
| 195.77.239 [.] 39 | N / A | تيليفونيكا دي إسبانا SAU | N / A | N / A |
| 195.154.146 [.] 35 | N / A | إساءة استخدام Scaleway ، ORG-ONLI1-RIPE | N / A | N / A |
| 196.218.30 [.] 83 | N / A | دور الاتصال بشركة TE Data | N / A | N / A |
| 197.242.150 [.] 244 | N / A | Afrihost (شركة خاصة محدودة) المحدودة | N / A | N / A |
| 198.199.65 [.] 189 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 198.199.98 [.] 78 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 201.94.166 [.] 162 | N / A | كلارو NXT Telecomunicacoes Ltda | N / A | N / A |
| 202.129.205 [.] 3 | N / A | NIPA TECHNOLOGY CO.، LTD | N / A | N / A |
| 203.114.109 [.] 124 | N / A | إيرت-توت-ث | N / A | N / A |
| 203.153.216 [.] 46 | N / A | اسوادي اسوادي | N / A | N / A |
| 206.189.28 [.] 199 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 207.148.81 [.] 119 | N / A | شركة كونستانت ، ذ | N / A | N / A |
| 207.180.241 [.] 186 | N / A | شركة كونتابو المحدودة | N / A | N / A |
| 209.97.163 [.] 214 | N / A | DigitalOcean ، LLC | N / A | N / A |
| 209.126.98 [.] 206 | N / A | GoDaddy.com، LLC | N / A | N / A |
| 210.57.209 [.] 142 | N / A | أندري تامتريجانتو | N / A | N / A |
| 212.24.98 [.] 99 | N / A | رؤية الإنترنت | N / A | N / A |
| 213.239.212 [.] 5 | N / A | شركة هيتزنر أونلاين المحدودة | N / A | N / A |
| 213.241.20 [.] 155 | N / A | دور جهة الاتصال Netia Telekom SA | N / A | N / A |
| 217.182.143 [.] 207 | N / A | OVS ساس | N / A | N / A |
تقنيات MITER ATT & CK
تم بناء هذا الجدول باستخدام إصدار 12 من تقنيات مؤسسة MITER ATT & CK.
| تكتيك | ID | الاسم | الوصف |
|---|---|---|---|
| استطلاع | T1592.001 | جمع معلومات مضيف الضحية: الأجهزة | يجمع Emotet معلومات حول أجهزة الجهاز المخترق ، مثل سلسلة العلامة التجارية لوحدة المعالجة المركزية. |
| T1592.004 | جمع معلومات مضيف الضحية: تكوينات العميل | يجمع Emotet معلومات حول تكوين النظام مثل ملف ipconfig / كافة و systeminfo أوامر. | |
| T1592.002 | جمع معلومات مضيف الضحية: البرامج | يقوم Emotet بسحب قائمة العمليات الجارية. | |
| T1589.001 | جمع معلومات هوية الضحية: أوراق الاعتماد | ينشر Emotet وحدات قادرة على سرقة بيانات الاعتماد من المتصفحات وتطبيقات البريد الإلكتروني. | |
| T1589.002 | جمع معلومات هوية الضحية: عناوين البريد الإلكتروني | ينشر Emotet وحدات يمكنها استخراج عناوين البريد الإلكتروني من تطبيقات البريد الإلكتروني. | |
| تنمية الموارد | T1586.002 | حسابات الاختراق: حسابات البريد الإلكتروني | يخترق Emotet حسابات البريد الإلكتروني ويستخدمها لنشر رسائل البريد الإلكتروني غير المرغوب فيها. |
| T1584.005 | تسوية البنية التحتية: شبكة بوت نت | يزيل Emotet العديد من أنظمة الجهات الخارجية لتشكيل الروبوتات. | |
| T1587.001 | تطوير القدرات: البرامج الضارة | يتكون Emotet من العديد من وحدات ومكونات البرامج الضارة الفريدة. | |
| T1588.002 | الحصول على القدرات: الأداة | يستخدم Emotet أدوات NirSoft لسرقة بيانات الاعتماد من الأجهزة المصابة. | |
| الوصول الأولي | T1566 | التصيد | يرسل Emotet رسائل بريد إلكتروني تصيدية تحتوي على مرفقات ضارة. |
| T1566.001 | التصيد الاحتيالي: مرفق Spearphishing | يرسل Emotet رسائل بريد إلكتروني مخادعة تحتوي على مرفقات ضارة. | |
| التنفيذ | T1059.005 | مترجم الأوامر والبرمجة: Visual Basic | شوهد Emotet باستخدام مستندات Microsoft Word التي تحتوي على وحدات ماكرو VBA ضارة. |
| T1204.002 | تنفيذ المستخدم: ملف ضار | يعتمد Emotet على المستخدمين الذين يفتحون مرفقات البريد الإلكتروني الضارة وينفذون البرامج النصية المضمنة. | |
| التهرب الدفاعي | T1140 | فك تشفير / فك تشفير الملفات أو المعلومات | تستخدم وحدات Emotet سلاسل مشفرة ومجموعات اختبارية مقنعة لأسماء وظائف API. |
| T1027.002 | ملفات أو معلومات مبهمة: تعبئة البرامج | يستخدم Emotet حزم مخصصة لحماية حمولاتهم. | |
| T1027.007 | ملفات أو معلومات مبهمة: دقة واجهة برمجة التطبيقات الديناميكية | Emotet يحل مكالمات API في وقت التشغيل. | |
| الوصول إلى بيانات الاعتماد | T1555.003 | بيانات الاعتماد من مخازن كلمات المرور: بيانات الاعتماد من متصفحات الويب | يكتسب Emotet بيانات الاعتماد المحفوظة في متصفحات الويب عن طريق إساءة استخدام تطبيق WebBrowserPassView الخاص بـ NirSoft. |
| T1555 | بيانات الاعتماد من مخازن كلمات المرور | Emotet قادر على سرقة كلمات المرور من تطبيقات البريد الإلكتروني عن طريق إساءة استخدام تطبيق MailPassView الخاص بـ NirSoft. | |
| مجموعة | T1114.001 | جمع البريد الإلكتروني: جمع البريد الإلكتروني المحلي | يسرق Emotet رسائل البريد الإلكتروني من تطبيقات Outlook و Thunderbird. |
| القيادة والتحكم | T1071.003 | بروتوكول طبقة التطبيق: بروتوكولات البريد | يمكن لـ Emotet إرسال رسائل بريد إلكتروني ضارة عبر SMTP. |
| T1573.002 | القناة المشفرة: التشفير غير المتماثل | يستخدم Emotet مفاتيح ECDH لتشفير حركة المرور C&C. | |
| T1573.001 | القناة المشفرة: التشفير المتماثل | يستخدم Emotet AES لتشفير حركة مرور C&C. | |
| T1571 | منفذ غير قياسي | من المعروف أن Emotet يتواصل على منافذ غير قياسية مثل 7080. |
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
- المصدر https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet/
