عاد أحد أخطر التهديدات وسيئ السمعة مرة أخرى. في يناير 2021 ، قام المسؤولون العالميون بإزالة الروبوتات. أرسل تطبيق القانون تحديثًا مدمرًا لملفات Emotet التنفيذية. وبدا الأمر وكأنه نهاية قصة طروادة.
لكن البرامج الضارة لم تتوقف عن المفاجأة.
في نوفمبر 2021 ، أفيد أن TrickBot لم يعد يعمل بمفرده ويقوم بتسليم Emotet. وكان ANY.RUN مع زملائه في الصناعة من بين أول من لاحظ ظهور مستندات Emotet الخبيثة.
 |
| أول المستندات الخبيثة Emotet |
وفي فبراير من هذا العام ، يمكننا أن نرى موجة نشطة للغاية مع قيام المحتالين بهجمات عديدة ، حيث وصلوا إلى القمة في الترتيب. إذا كنت مهتمًا بهذا الموضوع أو تبحث عن برامج ضارة ، فيمكنك الاستفادة من المساعدة الخاصة لـ أي تشغيل، صندوق الحماية التفاعلي للكشف عن التهديدات السيبرانية وتحليلها.
لنلقِ نظرة على تغييرات الإصدار الجديد التي أحدثها هذا البرنامج الضار التخريبي هذه المرة.
تاريخ Emotet
Emotet عبارة عن روبوتات معيارية متطورة ومتغيرة باستمرار. في عام 2014 ، كان البرنامج الضار مجرد حصان طروادة مصرفي تافه. منذ ذلك الحين اكتسبت ميزات ووحدات وحملات مختلفة:
- 2014. وحدات سرقة تحويل الأموال والبريد العشوائي و DDoS وسرقة دفتر العناوين.
- 2015. وظيفة التهرب.
- 2016. البريد الإلكتروني العشوائي ، مجموعة أدوات استغلال RIG 4.0 ، تسليم أحصنة طروادة أخرى.
- 2017. الموزعة ودفتر العناوين وحدة السارق.
الطبيعة متعددة الأشكال والوحدات المتعددة تسمح لـ Emotet بتجنب الكشف. يغير الفريق المسؤول عن البرامج الضارة باستمرار تكتيكاته وتقنياته وإجراءاته لجعل قواعد الكشف الحالية عديمة الفائدة. يقوم بتنزيل الحمولات الإضافية باستخدام العديد من الخطوات للبقاء في النظام المصاب. سلوكه يجعل التخلص من البرامج الضارة شبه مستحيل. ينتشر بسرعة ، ويخلق مؤشرات خاطئة ، ويتكيف مع احتياجات المهاجمين.
وفي 14 نوفمبر 2021 ، ولدت Emotet من جديد بإصدار جديد.
لماذا ولد Emotet من جديد؟
طوال تاريخ إيموتيت ، حصلت على عدة فترات راحة. لكن بعد عمليات الشرطة العالمية في كانون الثاني (يناير) 2021 ، كنا مستعدين لأن تختفي إلى الأبد. قام فريق تنفيذي مشترك باعتقال العديد من أفراد العصابة والاستيلاء على الخوادم وإتلاف النسخ الاحتياطية.
ومع ذلك ، استعادت الروبوتات أكثر قوة. إنه ماهر في تقنيات المراوغة ويستخدم عدة طرق للتغلب على الشبكات مما يجعله خطيرًا كما كان من قبل.
تم تعقب محاولة Trickbot تنزيل مكتبة ارتباط ديناميكي (DLL) إلى النظام. واتضح أن مكتبات DLL هي Emotet ، وبعد ذلك أكد الباحثون الحقيقة.
في عام 2021 بعد العودة ، تصدرت Emotet المراكز الثلاثة الأولى من حيث التحميلات في ANY.RUN sandbox. حتى بعد هذا الفاصل الطويل ، لا يزال يتمتع بشعبية. جميع الإحصائيات على اتجاهات Emotet متوفرة في Malware Trends Tracker ، وتستند الأرقام إلى عمليات الإرسال العامة.
 |
| أهم عمليات تحميل البرامج الضارة في الأسبوع الماضي |
لا عجب الآن عندما عادت عملياتها إلى القضبان ، أي. قاعدة بيانات RUN تحصل تقريبًا 3 ألف عينات خبيثة في الأسبوع. ومن الواضح أنك بحاجة إلى الاستعداد لهذا النوع من الهجوم في أي وقت.
ما الميزات الجديدة التي اكتسبتها Emotet؟
يمثل حصان طروادة بالفعل تهديدًا خطيرًا لأي شركة. يمكن أن تساعد معرفة جميع تحديثات البرامج الضارة في تجنب مثل هذا التهديد وتوخي الحذر. دعنا نتحرى الميزات التي يوفرها الإصدار الجديد وكيف يختلف عن السابق.
النماذج
تبدأ حملات Emotet برسالة بريد إلكتروني malspam تحتوي على مستندات مكتبية ضارة (مستندات Microsoft Office مُسلَّحة) أو ارتباطات تشعبية مرفقة برسالة البريد الإلكتروني المخادعة ، والتي يتم توزيعها على نطاق واسع وتجذب الضحايا لفتح مرفقات ضارة. يحتوي مستند Microsoft Office المُسلح على رمز VBA وماكرو الفتح التلقائي لتنفيذه. تستدرج مجموعة Emotet ضحاياها لتمكين وحدات الماكرو ، وهذا هو تفاعل المستخدم الوحيد المطلوب لبدء الهجوم. يسمح تفاعل المستخدم هذا بتجاوز اختبارات Sandboxes وعمليات التحقق.
يوزع Emotet باستخدام حملات البريد الإلكتروني الضارة التي تتكون عادةً من مستندات Office. وتصبح البرمجيات الخبيثة مبدعة للغاية باستخدام قوالب maldocs الخاصة بها. تقوم الروبوتات بتغييرها باستمرار: فهي تقلد تحديثات البرامج ورسائلها وملفاتها. ويقوم المحتوى بتضمين ماكرو VBA المبهم وإنشاء سلاسل تنفيذ مختلفة. يخدع المؤلفون الذين يقفون وراء البرامج الضارة المستخدمين لتمكين وحدات الماكرو من بدء الهجوم.
والنسخة الجديدة لها أيضا تطور. في صيف 2020 ، استخدم Emotet مستندًا مع رسالة Office 365. تظل الصورة دون تغيير ، لكنها تحولت إلى تنسيق XLS. أيضًا ، في هذا الإصدار الجديد ، تم استخدام المرة الأولى بالتنسيق السداسي العشري والثماني لتمثيل عنوان IP الذي تم تنزيل المرحلة الثانية منه. تم تغيير تقنية لاحقة مرة أخرى ، ولا يستخدم المحتالون IP المشفر HEX لتنزيل الحمولة.
 |
| قوالب Emotet في فبراير |
تقنيات جديدة
يستمر Emotet في رفع المستوى كمخلوق متعدد الأشكال من خلال الوصول إلى تقنيات جديدة. أحدث إصدار من البرامج الضارة قد أتى ببعض التغييرات الطفيفة في التكتيكات: فهو يعزز MSHTA مرة أخرى. بشكل عام ، يستفيد Macro 4.0 من Excel لتشغيل CMD أو Wscript أو Powershell ، والتي تبدأ عملية أخرى مثل MSHTA أو عملية مذكورة أعلاه تقوم بتنزيل الحمولة الرئيسية وتشغيلها بواسطة rundll32.
تحرص شبكة الروبوتات على إخفاء السلاسل والمحتوى الخبيث مثل عناوين URL أو عناوين IP أو الأوامر أو حتى أكواد القشرة. لكن في بعض الأحيان ، يمكنك الحصول على قائمة عناوين URL وعناوين IP من البرنامج النصي للملف. يمكنك بالتأكيد أن تجدها بنفسك في أي. الاكتشاف الثابت للجهاز RUN - جربه فقط!
 |
| قائمة عناوين URL من ملف PNG المزيف الخاص بـ Emotet |
الصحابة
نحن نعلم أن Emotet عادةً ما يسقط برامج ضارة أخرى لتفاقم العدوى. في نوفمبر ، تم تحديد أن الروبوتات قامت بتسليم طروادة Trickbot Banking على المضيفين المخترقين.
حاليًا ، يمكننا ملاحظة أن Emotet يعمل مع Cobalt Strike. إنه إطار عمل C2 يستخدمه مختبرو الاختراق والمجرمون أيضًا. يعني وجود Cobalt Strike في السيناريو أن الوقت بين الإصابة الأولية وهجوم برنامج الفدية يقصر بشكل كبير.
 |
| قائمة بـ Cobalt Strike IOCs من عدوى Emotet |
شجرة العمليات
حصلت سلسلة التنفيذ أيضًا على بعض التعديلات. في معظم الحالات ، يمكننا ملاحظة عملية CMD الفرعية ، و PowerShell ، و Rundll32 ، وتثبت عينات مختلفة أن المؤلفين يفضلون خلط العمليات ، وتغيير ترتيبهم باستمرار. الهدف الرئيسي من وراء ذلك هو تجنب الكشف عن طريق مجموعات القواعد التي تحدد التهديد من خلال العمليات الفرعية للتطبيق.
 |
| شجرة عملية Emotet |
سطر الأوامر
تحول Emotet من ملفات EXE إلى DLL منذ وقت طويل ، لذلك تم تشغيل الحمولة الرئيسية تحت Rundll32. يظل الاستخدام الوفير لـ Powershell و CMD دون تغيير:
 |
| سطر أوامر Emotet |
كيف تكتشف وتحمي من Emotet؟
إذا كنت بحاجة إلى طريقة سريعة ومريحة للحصول على معلومات كاملة عن عينة Emotet - استخدم الأدوات الحديثة. يسمح وضع الحماية التفاعلي ANY.RUN بمراقبة العمليات في الوقت الفعلي وتلقي جميع البيانات الضرورية على الفور.
تحدد قواعد Suricata بنجاح البرامج الخبيثة المختلفة ، بما في ذلك Emotet. علاوة على ذلك ، مع ميزة Fake net للكشف عن روابط C2 لعينة ضارة. تساعد هذه الوظيفة أيضًا في جمع بطاقات IOC الخاصة بالبرامج الضارة.
تأتي عينات Emotet وتذهب ، ومن الصعب مواكبة ذلك. لذلك ، ننصحك بمراجعة العينات الجديدة التي يتم تحديثها يوميًا في موقعنا التقديمات العامة.
أثبت Emotet أنه وحش من بين أخطر التهديدات الإلكترونية في البرية. تحسن البرمجيات الخبيثة وظائفها وتعمل على تجنب الاكتشاف. هذا هو السبب في أنه من الضروري الاعتماد على أدوات فعالة مثل أي تشغيل.
استمتع بصيد البرامج الضارة!
