Un bref résumé de ce qui s'est passé avec Emotet depuis son retour en novembre 2021
Emotet est une famille de logiciels malveillants active depuis 2014, exploitée par un groupe de cybercriminalité connu sous le nom de Mealybug ou TA542. Bien qu'il ait commencé comme un cheval de Troie bancaire, il a ensuite évolué pour devenir un botnet qui est devenu l'une des menaces les plus répandues dans le monde. Emotet se propage via des spams ; il peut exfiltrer des informations à partir d'ordinateurs compromis et y diffuser des logiciels malveillants tiers. Les opérateurs d'Emotet ne sont pas très pointilleux sur leurs cibles, installant leurs logiciels malveillants sur des systèmes appartenant à des particuliers ainsi qu'à des entreprises et à de plus grandes organisations.
En janvier 2021, Emotet a été la cible d'un takedown à la suite d'un effort de collaboration internationale de huit pays coordonné par Eurojust et Europol. Cependant, malgré cette opération, Emotet a repris vie en novembre 2021.
- Emotet a lancé plusieurs campagnes de spam depuis sa réapparition après son retrait.
- Depuis lors, Mealybug a créé plusieurs nouveaux modules et plusieurs fois mis à jour et amélioré tous les modules existants.
- Les opérateurs d'Emotet ont par la suite déployé beaucoup d'efforts pour éviter la surveillance et le suivi du botnet depuis son retour.
- Actuellement, Emotet est silencieux et inactif, probablement parce qu'il n'a pas trouvé de nouveau vecteur d'attaque efficace.
Figure 1. Chronologie des événements Emotet intéressants depuis son retour
Campagnes de spam
Après le retour suivi de multiples campagnes de spam fin 2021, le début 2022 a continué avec ces tendances et nous nous sommes inscrits plusieurs campagnes de spam lancées par les opérateurs Emotet. Pendant ce temps, Emotet se propageait principalement via des documents Microsoft Word et Microsoft Excel malveillants avec des macros VBA intégrées.
En juillet 2022, Microsoft a changé la donne pour toutes les familles de logiciels malveillants comme Emotet et Qbot - qui avaient utilisé des e-mails de phishing avec des documents malveillants comme méthode de propagation - en désactivant les macros VBA dans les documents obtenus sur Internet. Ce changement a été annoncé par Microsoft au début de l'année et déployé initialement début avril, mais la mise à jour a été annulée en raison des commentaires des utilisateurs. Le déploiement final a eu lieu fin juillet 2022 et, comme le montre la figure 2, la mise à jour a entraîné une baisse significative des compromis Emotet ; nous n'avons pas observé d'activité significative durant l'été 2022.
Figure 2. Tendance de détection Emotet, moyenne mobile sur sept jours
La désactivation du vecteur d'attaque principal d'Emotet a poussé ses opérateurs à rechercher de nouvelles façons de compromettre leurs cibles. Cochenille commencé à expérimenter avec des fichiers LNK et XLL malveillants, mais à la fin de l'année 2022, les opérateurs d'Emotet ont eu du mal à trouver un nouveau vecteur d'attaque qui serait aussi efficace que les macros VBA. En 2023, ils ont mené trois campagnes de spam distinctes, chacune testant une voie d'intrusion et une technique d'ingénierie sociale légèrement différentes. Cependant, la taille réduite des attaques et les changements constants dans l'approche peuvent suggérer une insatisfaction quant aux résultats.
La première de ces trois campagnes s'est déroulée vers le 8 marsth, 2023, lorsque le botnet Emotet a commencé à distribuer des documents Word, masqués comme des factures, avec des macros VBA malveillantes intégrées. C'était assez étrange car les macros VBA étaient désactivées par Microsoft par défaut, de sorte que les victimes ne pouvaient pas exécuter de code malveillant intégré.
Dans leur deuxième campagne entre le 13 marsth et 18 Marsth, les attaquants ont apparemment reconnu ces failles et, en plus d'utiliser l'approche de la chaîne de réponse, ils sont également passés des macros VBA aux fichiers OneNote (ONE) avec des VBScripts intégrés. Si les victimes ouvraient le fichier, elles étaient accueillies par ce qui ressemblait à une page OneNote protégée, leur demandant de cliquer sur un bouton Afficher pour voir le contenu. Derrière cet élément graphique se trouvait un VBScript caché, configuré pour télécharger la DLL Emotet.
Malgré un avertissement OneNote indiquant que cette action pourrait conduire à un contenu malveillant, les gens ont tendance à cliquer sur des invites similaires par habitude et peuvent donc potentiellement permettre aux attaquants de compromettre leurs appareils.
La dernière campagne observée dans la télémétrie ESET a été lancée le 20 marsth, profitant de la prochaine date d'échéance de l'impôt sur le revenu aux États-Unis. Les e-mails malveillants envoyés par le botnet prétendaient provenir du fisc américain Internal Revenue Service (IRS) et contenaient un fichier d'archive joint nommé W-9 form.zip. Le fichier ZIP inclus contenait un document Word avec une macro VBA malveillante intégrée que la victime visée devait probablement permettre. Outre cette campagne, ciblant spécifiquement les États-Unis, nous avons également observé une autre campagne utilisant l'approche VBScripts et OneNote intégrée qui était en cours au même moment.
Comme le montre la figure 3, la plupart des attaques détectées par ESET visaient le Japon (43 %), l'Italie (13 %), bien que ces chiffres puissent être biaisés par la forte base d'utilisateurs d'ESET dans ces régions. Après avoir retiré ces deux premiers pays (afin de se concentrer sur le reste du monde), dans la figure 4, on peut voir que le reste du monde a également été touché, avec l'Espagne (5 %) à la troisième place suivie du Mexique (5 %) et l'Afrique du Sud (4 %).
Figure 3. Détections Emotet de janvier 2022 à juin 2023
Figure 4. Détections Emotet de janvier 2022 à juin 2023 (JP et IT exclus)
Protection et obfuscation améliorées
Après sa réapparition, Emotet a obtenu plusieurs mises à niveau. La première caractéristique notable est que le botnet a changé son schéma cryptographique. Avant le retrait, Emotet utilisait RSA comme schéma asymétrique principal et après la réapparition, le botnet a commencé à utiliser la cryptographie à courbe elliptique. Actuellement, chaque module Downloader (également appelé module principal) est livré avec deux clés publiques intégrées. L'un est utilisé pour le protocole d'échange de clé Diffie Hellman à courbe elliptique et l'autre est utilisé pour une vérification de signature - Algorithme de signature numérique.
Outre la mise à jour du logiciel malveillant Emotet vers une architecture 64 bits, Mealybug a également mis en place plusieurs nouvelles obfuscations pour protéger ses modules. Le premier obscurcissement notable est l'aplatissement du flux de contrôle, qui peut considérablement ralentir l'analyse et localiser les parties de code intéressantes dans les modules d'Emotet.
Mealybug a également mis en œuvre et amélioré sa mise en œuvre de nombreuses techniques de randomisation, dont les plus notables sont la randomisation de l'ordre des membres de la structure et la randomisation des instructions qui calculent les constantes (les constantes sont masquées).
Une autre mise à jour qui mérite d'être mentionnée s'est produite au cours du dernier trimestre de 2022, lorsque les modules ont commencé à utiliser des files d'attente de minuterie. Avec ceux-ci, la fonction principale des modules et la partie communication des modules ont été définies comme une fonction de rappel, qui est invoquée par plusieurs threads et tout cela est combiné avec l'aplatissement du flux de contrôle, où la valeur d'état qui gère quel bloc de code est à invoquer est partagé entre les threads. Cet obscurcissement s'ajoute à un autre obstacle dans l'analyse et rend le suivi du flux d'exécution encore plus difficile.
De nouveaux modules
Pour rester un logiciel malveillant rentable et répandu, Mealybug a implémenté plusieurs nouveaux modules, illustrés en jaune sur la figure 5. Certains d'entre eux ont été créés comme un mécanisme défensif pour le botnet, d'autres pour une propagation plus efficace du logiciel malveillant, et enfin, un module qui vole des informations pouvant être utilisées pour voler l'argent de la victime.
Figure 5. Les modules les plus fréquemment utilisés d'Emotet. Le rouge existait avant le démontage ; le jaune est apparu après le retour
Thunderbird Email Stealer et Thunderbird Contact Stealer
Emotet se propage via des spams et les gens font souvent confiance à ces e-mails, car Emotet utilise avec succès une technique de détournement de fil de discussion. Avant le retrait, Emotet utilisait des modules que nous appelons Outlook Contact Stealer et Outlook Email Stealer, qui étaient capables de voler des e-mails et des informations de contact à partir d'Outlook. Mais parce que tout le monde n'utilise pas Outlook, après le retrait, Emotet s'est également concentré sur une application de messagerie alternative gratuite - Thunderbird.
Emotet peut déployer un module Thunderbird Email Stealer sur l'ordinateur compromis, qui (comme son nom l'indique) est capable de voler des e-mails. Le module recherche dans les fichiers Thunderbird contenant les messages reçus (au format MBOX) et vole les données de plusieurs champs, notamment l'expéditeur, les destinataires, l'objet, la date et le contenu du message. Toutes les informations volées sont ensuite envoyées à un serveur C&C pour un traitement ultérieur.
En collaboration avec Thunderbird Email Stealer, Emotet déploie également un Thunderbird Contact Stealer, qui est capable de voler les informations de contact de Thunderbird. Ce module recherche également dans les fichiers Thunderbird, cette fois à la recherche des messages reçus et envoyés. La différence est que ce module ne fait qu'extraire des informations du À partir de, À:, CC: ainsi que Cc: champs et crée un graphique interne de qui a communiqué avec qui, où les nœuds sont des personnes, et il y a un avantage entre deux personnes si elles ont communiqué entre elles. Dans l'étape suivante, le module ordonne les contacts volés - en commençant par les personnes les plus interconnectées - et envoie ces informations à un serveur C&C.
Tout cet effort est complété par deux modules supplémentaires (qui existaient déjà avant le retrait) - le module MailPassView Stealer et le module Spammer. MailPassView Stealer abuse d'un outil NirSoft légitime pour la récupération de mot de passe et vole les informations d'identification des applications de messagerie. Lorsque des e-mails volés, des informations d'identification et des informations sur qui est en contact avec qui sont traités, Mealybug crée des e-mails malveillants qui ressemblent à une réponse à des conversations précédemment volées et envoie ces e-mails avec les informations d'identification volées à un module Spammer qui utilise ces informations d'identification pour envoyer réponses malveillantes aux conversations par e-mail précédentes via SMTP.
Voleur de carte de crédit Google Chrome
Comme son nom l'indique, Google Chrome Credit Card Stealer vole des informations sur les cartes de crédit stockées dans le navigateur Google Chrome. Pour ce faire, le module utilise une bibliothèque SQLite3 liée statiquement pour accéder au fichier de base de données Web Data généralement situé dans %LOCALAPPDATA%Données utilisateur GoogleChromeDonnées Web par défaut. Le module interroge la table cartes de crédit en nom_de_carte, mois d'expiration, expiration_annéeet numéro_de_carte_chiffré, contenant des informations sur les cartes de crédit enregistrées dans le profil Google Chrome par défaut. Dans la dernière étape, la valeur card_number_encrypted est déchiffrée à l'aide de la clé stockée dans le %LOCALAPPDATA%GoogleChromeUser DataFichier d'état local et toutes les informations sont envoyées à un serveur C&C.
Modules Systeminfo et Hardwareinfo
Peu de temps après le retour d'Emotet, en novembre 2021, un nouveau module que nous appelons Systeminfo est apparu. Ce module collecte des informations sur un système compromis et les envoie au serveur C&C. Les informations collectées consistent en :
- Sortie du systeminfo commander
- Sortie du ipconfig / all commander
- Sortie du nltest /dclist : commande (supprimée en octobre 2022)
- Liste des processus
- Disponibilité (obtenue via Gettickcount) en secondes (supprimé en octobre 2022)
In Octobre 2022 Les opérateurs d'Emotet ont publié un autre nouveau module que nous appelons Hardwareinfo. Même s'il ne vole pas exclusivement des informations sur le matériel d'une machine compromise, il sert de source d'informations complémentaire au module Systeminfo. Ce module collecte les données suivantes de la machine compromise :
- nom de l'ordinateur
- Nom d'utilisateur
- Informations sur la version du système d'exploitation, y compris les numéros de version majeure et mineure
- Session ID
- Chaîne de marque du processeur
- Informations sur la taille et l'utilisation de la RAM
Les deux modules ont un objectif principal : vérifier si la communication provient d'une victime légitimement compromise ou non. Emotet était, surtout après son retour, un sujet très brûlant dans l'industrie de la sécurité informatique et parmi les chercheurs, alors Mealybug s'est donné beaucoup de mal pour se protéger du suivi et de la surveillance de ses activités. Grâce aux informations collectées par ces deux modules qui non seulement collectent des données, mais contiennent également des astuces anti-pistage et anti-analyse, les capacités de Mealybug à distinguer les vraies victimes des activités des chercheurs de logiciels malveillants ou des bacs à sable ont été considérablement améliorées.
Quelle est la prochaine?
Selon la recherche et la télémétrie d'ESET, les deux époques du botnet sont calmes depuis le début d'avril 2023. Actuellement, il n'est pas clair s'il s'agit encore d'une autre période de vacances pour les auteurs, s'ils ont du mal à trouver un nouveau vecteur d'infection efficace, ou si il y a quelqu'un de nouveau qui exploite le botnet.
Même si nous ne pouvons pas confirmer les rumeurs selon lesquelles une ou les deux Epochs du botnet ont été vendues à quelqu'un en janvier 2023, nous avons remarqué une activité inhabituelle sur l'une des Epochs. La dernière mise à jour du module de téléchargement contenait une nouvelle fonctionnalité, qui enregistre les états internes du module et suit son exécution dans un fichier C:JSmithLoader (Figure 6, Figure 7). Étant donné que ce fichier doit exister pour enregistrer réellement quelque chose, cette fonctionnalité ressemble à une sortie de débogage pour quelqu'un qui ne comprend pas complètement ce que fait le module et comment il fonctionne. De plus, à cette époque, le botnet diffusait également à grande échelle des modules Spammer, considérés comme plus précieux pour Mealybug car, historiquement, ils n'utilisaient ces modules que sur des machines qu'ils considéraient comme sûres.
Figure 6. Journalisation du comportement du module de téléchargement
Figure 7. Journalisation du comportement du module de téléchargement
Quelle que soit l'explication de la raison pour laquelle le botnet est silencieux maintenant, Emotet est connu pour son efficacité et ses opérateurs se sont efforcés de reconstruire et de maintenir le botnet et même d'ajouter quelques améliorations, alors suivez notre blog pour voir ce que l'avenir apportera nous.
ESET Research propose des rapports d'intelligence APT privés et des flux de données. Pour toute demande concernant ce service, rendez-vous sur Intelligence des menaces ESET .
IoCs
Fichiers
| SHA-1 | Nom de fichier | Nom de détection ESET | Description |
|---|---|---|---|
| D5FDE4A0DF9E416DE02AE51D07EFA8D7B99B11F2 | N/D | Win64/Emotet.AL | Module d'informations système Emotet. |
| 1B6CFE35EF42EB9C6E19BCBD5A3829458C856DBC | N/D | Win64/Emotet.AL | Module d'informations sur le matériel Emotet. |
| D938849F4C9D7892CD1558C8EDA634DADFAD2F5A | N/D | Win64/Emotet.AO | Module Emotet Google Chrome Credit Card Stealer. |
| 1DF4561C73BD35E30B31EEE62554DD7157AA26F2 | N/D | Win64/Emotet.AL | Module Emotet Thunderbird Email Stealer. |
| 05EEB597B3A0F0C7A9E2E24867A797DF053AD860 | N/D | Win64/Emotet.AL | Module Emotet Thunderbird Contact Stealer. |
| 0CEB10940CE40D1C26FC117BC2D599C491657AEB | N/D | Win64/Emotet.AQ | Module Emotet Downloader, version avec obfuscation de la file d'attente du minuteur. |
| 8852B81566E8331ED43AB3C5648F8D13012C8A3B | N/D | Win64/Emotet.AL | Module de téléchargement Emotet, version x64. |
| F2E79EC201160912AB48849A5B5558343000042E | N/D | Win64/Emotet.AQ | Module Emotet Downloader, version avec chaînes de débogage. |
| CECC5BBA6193D744837E689E68BC25C43EDA7235 | N/D | Win32/Emotet.DG | Module de téléchargement Emotet, version x86. |
Réseau
| IP | Domaine | Fournisseur d'hébergement | Vu la première fois | Détails |
|---|---|---|---|---|
| 1.234.2[.]232 | N/D | SK Broadband Co Ltd | N/D | N/D |
| 1.234.21[.]73 | N/D | SK Broadband Co Ltd | N/D | N/D |
| 5.9.116[.]246 | N/D | Hetzner Online SA | N/D | N/D |
| 5.135.159[.]50 | N/D | OVH SAS | N/D | N/D |
| 27.254.65[.]114 | N/D | CS LOXINFO Société Publique Limitée. | N/D | N/D |
| 37.44.244[.]177 | N/D | Hostinger International Limitée | N/D | N/D |
| 37.59.209[.]141 | N/D | Rôle Abus-C | N/D | N/D |
| 37.187.115[.]122 | N/D | OVH SAS | N/D | N/D |
| 45.71.195[.]104 | N/D | NET ALTERNATIVE PROVEDOR DE INTERNET LTDA – ME | N/D | N/D |
| 45.79.80[.]198 | N/D | Linode | N/D | N/D |
| 45.118.115[.]99 | N/D | Asep Bambang Gunawan | N/D | N/D |
| 45.176.232[.]124 | N/D | CABLE Y TELECOMUNICACIONES DE COLOMBIA SAS (CABLETELCO) | N/D | N/D |
| 45.235.8[.]30 | N/D | WIKINET TÉLÉCOMMUNICATIONS | N/D | N/D |
| 46.55.222[.]11 | N/D | DCC | N/D | N/D |
| 51.91.76[.]89 | N/D | OVH SAS | N/D | N/D |
| 51.161.73[.]194 | N/D | OVH SAS | N/D | N/D |
| 51.254.140[.]238 | N/D | Rôle Abus-C | N/D | N/D |
| 54.37.106[.]167 | N/D | OVH SAS | N/D | N/D |
| 54.37.228[.]122 | N/D | OVH SAS | N/D | N/D |
| 54.38.242[.]185 | N/D | OVH SAS | N/D | N/D |
| 59.148.253[.]194 | N/D | MAÎTRE D'HÔTE DES CTINETS | N/D | N/D |
| 61.7.231[.]226 | N/D | Réseau IP CAT Telecom | N/D | N/D |
| 61.7.231[.]229 | N/D | L'Autorité des communications de Thaïlande, CAT | N/D | N/D |
| 62.171.178[.]147 | N/D | Contabo GmbH | N/D | N/D |
| 66.42.57[.]149 | N/D | La société constante, LLC | N/D | N/D |
| 66.228.32[.]31 | N/D | Linode | N/D | N/D |
| 68.183.93[.]250 | N/D | DigitalOcean, LLC | N/D | N/D |
| 72.15.201[.]15 | N/D | Flexential Colorado Corp. | N/D | N/D |
| 78.46.73[.]125 | N/D | Hetzner Online GmbH – Rôle de contact, ORG-HOA1-RIPE | N/D | N/D |
| 78.47.204[.]80 | N/D | Hetzner Online SA | N/D | N/D |
| 79.137.35[.]198 | N/D | OVH SAS | N/D | N/D |
| 82.165.152[.]127 | N/D | 1 et 1 IONOS SE | N/D | N/D |
| 82.223.21[.]224 | N/D | IONOS SE | N/D | N/D |
| 85.214.67[.]203 | N/D | Strato inc. | N/D | N/D |
| 87.106.97[.]83 | N/D | IONOS SE | N/D | N/D |
| 91.121.146[.]47 | N/D | OVH SAS | N/D | N/D |
| 91.207.28[.]33 | N/D | Optima Télécom Ltée. | N/D | N/D |
| 93.104.209[.]107 | N/D | MNET | N/D | N/D |
| 94.23.45[.]86 | N/D | OVH SAS | N/D | N/D |
| 95.217.221[.]146 | N/D | Hetzner Online SA | N/D | N/D |
| 101.50.0[.]91 | N/D | PT. Béon Intermédia | N/D | N/D |
| 103.41.204[.]169 | N/D | Système PT Infinys Indonésie | N/D | N/D |
| 103.43.75[.]120 | N/D | Administrateur Choopa LLC | N/D | N/D |
| 103.63.109[.]9 | N/D | Nguyen Nhu Thanh | N/D | N/D |
| 103.70.28[.]102 | N/D | Nguyên Thi Oanh | N/D | N/D |
| 103.75.201[.]2 | N/D | IRT-CDNPLUSCOLTD-TH | N/D | N/D |
| 103.132.242[.]26 | N/D | Le réseau d'Ishan | N/D | N/D |
| 104.131.62[.]48 | N/D | DigitalOcean, LLC | N/D | N/D |
| 104.168.155[.]143 | N/D | Hostwinds LLC. | N/D | N/D |
| 104.248.155[.]133 | N/D | DigitalOcean, LLC | N/D | N/D |
| 107.170.39[.]149 | N/D | DigitalOcean, LLC | N/D | N/D |
| 110.232.117[.]186 | N/D | Rack Corp | N/D | N/D |
| 115.68.227[.]76 | N/D | SOURIRESERV | N/D | N/D |
| 116.124.128[.]206 | N/D | IRT-KRNIC-KR | N/D | N/D |
| 116.125.120[.]88 | N/D | IRT-KRNIC-KR | N/D | N/D |
| 118.98.72[.]86 | N/D | PT Telkom Indonésie Gestion des ressources APNIC | N/D | N/D |
| 119.59.103[.]152 | N/D | 453 Ladplacout Jorakhaebua | N/D | N/D |
| 119.193.124[.]41 | N/D | Gestionnaire IP | N/D | N/D |
| 128.199.24[.]148 | N/D | DigitalOcean, LLC | N/D | N/D |
| 128.199.93[.]156 | N/D | DigitalOcean, LLC | N/D | N/D |
| 128.199.192[.]135 | N/D | DigitalOcean, LLC | N/D | N/D |
| 129.232.188[.]93 | N/D | Xneelo (Pty) Ltd | N/D | N/D |
| 131.100.24[.]231 | N/D | EVEO SA | N/D | N/D |
| 134.122.66[.]193 | N/D | DigitalOcean, LLC | N/D | N/D |
| 139.59.56[.]73 | N/D | DigitalOcean, LLC | N/D | N/D |
| 139.59.126[.]41 | N/D | Administrateur de Digital Ocean Inc | N/D | N/D |
| 139.196.72[.]155 | N/D | Publicité Cie., Ltd de Hangzhou Alibaba. | N/D | N/D |
| 142.93.76[.]76 | N/D | DigitalOcean, LLC | N/D | N/D |
| 146.59.151[.]250 | N/D | OVH SAS | N/D | N/D |
| 146.59.226[.]45 | N/D | OVH SAS | N/D | N/D |
| 147.139.166[.]154 | N/D | Alibaba (États-Unis) Technology Co., Ltd. | N/D | N/D |
| 149.56.131[.]28 | N/D | OVH SAS | N/D | N/D |
| 150.95.66[.]124 | N/D | Administrateur de GMO Internet inc. | N/D | N/D |
| 151.106.112[.]196 | N/D | Hostinger International Limitée | N/D | N/D |
| 153.92.5[.]27 | N/D | Hostinger International Limitée | N/D | N/D |
| 153.126.146[.]25 | N/D | IRT-JPNIC-JP | N/D | N/D |
| 159.65.3[.]147 | N/D | DigitalOcean, LLC | N/D | N/D |
| 159.65.88[.]10 | N/D | DigitalOcean, LLC | N/D | N/D |
| 159.65.140[.]115 | N/D | DigitalOcean, LLC | N/D | N/D |
| 159.69.237[.]188 | N/D | Hetzner Online GmbH – Rôle de contact, ORG-HOA1-RIPE | N/D | N/D |
| 159.89.202[.]34 | N/D | DigitalOcean, LLC | N/D | N/D |
| 160.16.142[.]56 | N/D | IRT-JPNIC-JP | N/D | N/D |
| 162.243.103[.]246 | N/D | DigitalOcean, LLC | N/D | N/D |
| 163.44.196[.]120 | N/D | OGM-Z avec NetDesign Holdings Co., Ltd. | N/D | N/D |
| 164.68.99[.]3 | N/D | Contabo GmbH | N/D | N/D |
| 164.90.222[.]65 | N/D | DigitalOcean, LLC | N/D | N/D |
| 165.22.230[.]183 | N/D | DigitalOcean, LLC | N/D | N/D |
| 165.22.246[.]219 | N/D | DigitalOcean, LLC | N/D | N/D |
| 165.227.153[.]100 | N/D | DigitalOcean, LLC | N/D | N/D |
| 165.227.166[.]238 | N/D | DigitalOcean, LLC | N/D | N/D |
| 165.227.211[.]222 | N/D | DigitalOcean, LLC | N/D | N/D |
| 167.172.199[.]165 | N/D | DigitalOcean, LLC | N/D | N/D |
| 167.172.248[.]70 | N/D | DigitalOcean, LLC | N/D | N/D |
| 167.172.253[.]162 | N/D | DigitalOcean, LLC | N/D | N/D |
| 168.197.250[.]14 | N/D | Omar Anselmo Ripoll (TDC NET) | N/D | N/D |
| 169.57.156[.]166 | N/D | SoftLayer | N/D | N/D |
| 172.104.251[.]154 | N/D | Nuage connecté d'Akamai | N/D | N/D |
| 172.105.226[.]75 | N/D | Nuage connecté d'Akamai | N/D | N/D |
| 173.212.193[.]249 | N/D | Contabo GmbH | N/D | N/D |
| 182.162.143[.]56 | N/D | IRT-KRNIC-KR | N/D | N/D |
| 183.111.227[.]137 | N/D | Korea Telecom | N/D | N/D |
| 185.4.135[.]165 | N/D | ENARTIA SA unipersonnelle | N/D | N/D |
| 185.148.168[.]15 | N/D | Rôle Abus-C | N/D | N/D |
| 185.148.168[.]220 | N/D | Rôle Abus-C | N/D | N/D |
| 185.168.130[.]138 | N/D | GigaCloud CNO | N/D | N/D |
| 185.184.25[.]78 | N/D | MUV Bilisim et Telekomunikasyon Hizmetleri Ltd. Sti. | N/D | N/D |
| 185.244.166[.]137 | N/D | Jan Philipp Waldecker commercialise sous le nom de LUMASERV Systems | N/D | N/D |
| 186.194.240[.]217 | N/D | SEMPER TELECOMUNICACOES LTDA | N/D | N/D |
| 187.63.160[.]88 | N/D | BITCOM FOURNISSEUR DE SERVICES INTERNET LTDA | N/D | N/D |
| 188.44.20[.]25 | N/D | Société de services de communication A1 Makedonija DOOEL Skopje | N/D | N/D |
| 190.90.233[.]66 | N/D | INTERNEXA Brasil Operadora de Telecomunicações SA | N/D | N/D |
| 191.252.103[.]16 | N/D | Locaweb Services de Internet S/A | N/D | N/D |
| 194.9.172[.]107 | N/D | Rôle Abus-C | N/D | N/D |
| 195.77.239[.]39 | N/D | TELEFONICA DE ESPANA SAU | N/D | N/D |
| 195.154.146[.]35 | N/D | Abus de Scaleway, ORG-ONLI1-RIPE | N/D | N/D |
| 196.218.30[.]83 | N/D | Rôle du contact de données TE | N/D | N/D |
| 197.242.150[.]244 | N/D | Afrihost (Pty) Ltd | N/D | N/D |
| 198.199.65[.]189 | N/D | DigitalOcean, LLC | N/D | N/D |
| 198.199.98[.]78 | N/D | DigitalOcean, LLC | N/D | N/D |
| 201.94.166[.]162 | N/D | Claro NXT Telecomunicacoes Ltda | N/D | N/D |
| 202.129.205[.]3 | N/D | NIPA TECHNOLOGIE CO., LTD | N/D | N/D |
| 203.114.109[.]124 | N/D | IRT-TOT-TH | N/D | N/D |
| 203.153.216[.]46 | N/D | Iswadi Iswadi | N/D | N/D |
| 206.189.28[.]199 | N/D | DigitalOcean, LLC | N/D | N/D |
| 207.148.81[.]119 | N/D | La société constante, LLC | N/D | N/D |
| 207.180.241[.]186 | N/D | Contabo GmbH | N/D | N/D |
| 209.97.163[.]214 | N/D | DigitalOcean, LLC | N/D | N/D |
| 209.126.98[.]206 | N/D | GoDaddy.com, LLC | N/D | N/D |
| 210.57.209[.]142 | N/D | Andre Tamtrijanto | N/D | N/D |
| 212.24.98[.]99 | N/D | Vizija Internet | N/D | N/D |
| 213.239.212[.]5 | N/D | Hetzner Online SA | N/D | N/D |
| 213.241.20[.]155 | N/D | Rôle du contact Netia Telekom SA | N/D | N/D |
| 217.182.143[.]207 | N/D | OVH SAS | N/D | N/D |
Techniques d'ATT&CK D'ONGLET
Ce tableau a été construit avec Version 12 des techniques d'entreprise MITRE ATT&CK.
| Tactique | ID | Nom | Description |
|---|---|---|---|
| Reconnaissance | T1592.001 | Recueillir les informations sur l'hôte de la victime : matériel | Emotet recueille des informations sur le matériel de la machine compromise, telles que la chaîne de marque du processeur. |
| T1592.004 | Recueillir les informations sur l'hôte victime : configurations client | Emotet rassemble des informations sur la configuration du système telles que le ipconfig / all ainsi que systeminfo les commandes. | |
| T1592.002 | Recueillir des informations sur l'hôte de la victime : logiciel | Emotet exfiltre une liste de processus en cours d'exécution. | |
| T1589.001 | Recueillir des informations sur l'identité de la victime : informations d'identification | Emotet déploie des modules capables de voler les informations d'identification des navigateurs et des applications de messagerie. | |
| T1589.002 | Recueillir des informations sur l'identité des victimes : adresses e-mail | Emotet déploie des modules capables d'extraire des adresses e-mail à partir d'applications de messagerie. | |
| Développement des ressources | T1586.002 | Comptes compromis : comptes de messagerie | Emotet compromet les comptes de messagerie et les utilise pour diffuser des e-mails malveillants. |
| T1584.005 | Infrastructure de compromis : Botnet | Emotet compromet de nombreux systèmes tiers pour former un botnet. | |
| T1587.001 | Développer des capacités : logiciels malveillants | Emotet se compose de plusieurs modules et composants de logiciels malveillants uniques. | |
| T1588.002 | Obtenir des capacités : outil | Emotet utilise les outils NirSoft pour voler les informations d'identification des machines infectées. | |
| Accès initial | T1566 | Phishing | Emotet envoie des e-mails de phishing avec des pièces jointes malveillantes. |
| T1566.001 | Hameçonnage : pièce jointe de harponnage | Emotet envoie des e-mails de harponnage avec des pièces jointes malveillantes. | |
| Internationaux | T1059.005 | Interpréteur de commandes et de scripts : Visual Basic | Emotet a été vu en train d'utiliser des documents Microsoft Word contenant des macros VBA malveillantes. |
| T1204.002 | Exécution utilisateur : fichier malveillant | Emotet s'est appuyé sur les utilisateurs pour ouvrir des pièces jointes malveillantes et exécuter des scripts intégrés. | |
| Évasion défensive | T1140 | Désobscurcir/décoder des fichiers ou des informations | Les modules Emotet utilisent des chaînes cryptées et des sommes de contrôle masquées des noms de fonction API. |
| T1027.002 | Fichiers ou informations obscurcis : emballage du logiciel | Emotet utilise des packers personnalisés pour protéger leurs charges utiles. | |
| T1027.007 | Fichiers ou informations masqués : résolution d'API dynamique | Emotet résout les appels d'API au moment de l'exécution. | |
| Accès aux informations d'identification | T1555.003 | Informations d'identification des magasins de mots de passe : informations d'identification des navigateurs Web | Emotet acquiert les informations d'identification enregistrées dans les navigateurs Web en abusant de l'application WebBrowserPassView de NirSoft. |
| T1555 | Informations d'identification des magasins de mots de passe | Emotet est capable de voler les mots de passe des applications de messagerie en abusant de l'application MailPassView de NirSoft. | |
| Collection | T1114.001 | Collecte d'e-mails : collecte d'e-mails locaux | Emotet vole les e-mails des applications Outlook et Thunderbird. |
| Commander et contrôler | T1071.003 | Protocole de couche application : protocoles de messagerie | Emotet peut envoyer des e-mails malveillants via SMTP. |
| T1573.002 | Canal crypté : cryptographie asymétrique | Emotet utilise des clés ECDH pour chiffrer le trafic C&C. | |
| T1573.001 | Canal crypté : cryptographie symétrique | Emotet utilise AES pour chiffrer le trafic C&C. | |
| T1571 | Port non standard | Emotet est connu pour communiquer sur des ports non standard tels que 7080. |
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet/
