Emotet là một họ phần mềm độc hại hoạt động từ năm 2014, được điều hành bởi một nhóm tội phạm mạng có tên là Mealybug hoặc TA542. Mặc dù nó bắt đầu như một trojan ngân hàng, nhưng sau đó nó đã phát triển thành một mạng botnet và trở thành một trong những mối đe dọa phổ biến nhất trên toàn thế giới. Emotet lây lan qua thư rác; nó có thể lọc thông tin từ và phân phối phần mềm độc hại của bên thứ ba đến các máy tính bị xâm nhập. Các nhà khai thác Emotet không kén chọn mục tiêu của họ, cài đặt phần mềm độc hại của họ trên các hệ thống thuộc về các cá nhân cũng như các công ty và tổ chức lớn hơn.

Vào tháng 2021 năm XNUMX, Emotet là mục tiêu của một gỡ bỏ là kết quả của nỗ lực hợp tác quốc tế của tám quốc gia do Eurojust và Europol điều phối. Tuy nhiên, bất chấp hoạt động này, Emotet đã hoạt động trở lại vào tháng 2021 năm XNUMX.

Hình 1. Dòng thời gian của các sự kiện Emotet thú vị kể từ khi trở lại

Chiến dịch thư rác

Sau sự trở lại của nhiều chiến dịch spam vào cuối năm 2021, đầu năm 2022 tiếp tục với những xu hướng này và chúng tôi đã đăng ký nhiều chiến dịch thư rác do các nhà khai thác Emotet tung ra. Trong thời gian này, Emotet lây lan chủ yếu qua các tài liệu Microsoft Word và Microsoft Excel độc hại với các macro VBA được nhúng.

Vào tháng 2022 năm XNUMX, Microsoft đã thay đổi trò chơi đối với tất cả các dòng phần mềm độc hại như Emotet và Qbot – vốn đã sử dụng email lừa đảo chứa tài liệu độc hại làm phương thức lây lan – bằng cách vô hiệu hóa macro VBA trong tài liệu lấy được từ Internet. thay đổi này là công bố bởi Microsoft vào đầu năm và được triển khai ban đầu vào đầu tháng 2022, nhưng bản cập nhật đã bị lùi lại do phản hồi của người dùng. Lần triển khai cuối cùng diễn ra vào cuối tháng 2 năm 2022 và như có thể thấy trong Hình XNUMX, bản cập nhật đã dẫn đến sự sụt giảm đáng kể trong các thỏa hiệp của Emotet; chúng tôi không quan sát thấy bất kỳ hoạt động quan trọng nào trong suốt mùa hè năm XNUMX.

Hình 2. Xu hướng phát hiện Emotet, đường trung bình động bảy ngày

Việc vô hiệu hóa vectơ tấn công chính của Emotet khiến những người điều hành nó tìm kiếm những cách mới để xâm phạm mục tiêu của họ. rệp sáp bắt đầu thử nghiệm với các tệp LNK và XLL độc hại, nhưng khi năm 2022 sắp kết thúc, các nhà khai thác Emotet đã phải vật lộn để tìm ra một vectơ tấn công mới có hiệu quả như các macro VBA đã từng. Vào năm 2023, họ đã chạy ba chiến dịch malspam đặc biệt, mỗi chiến dịch thử nghiệm một con đường xâm nhập và kỹ thuật tấn công xã hội hơi khác nhau. Tuy nhiên, quy mô thu hẹp của các cuộc tấn công và những thay đổi liên tục trong cách tiếp cận có thể cho thấy sự không hài lòng với kết quả.

Chiến dịch đầu tiên trong số ba chiến dịch đó xảy ra vào khoảng ngày 8 tháng XNUMX^th, 2023, khi mạng botnet Emotet bắt đầu phân phối các tài liệu Word, được ngụy trang dưới dạng hóa đơn, với các macro VBA độc hại được nhúng. Điều này khá kỳ lạ vì các macro VBA đã bị Microsoft tắt theo mặc định, vì vậy nạn nhân không thể chạy mã độc được nhúng.

Trong chiến dịch thứ hai của họ giữa ngày 13 tháng XNUMX^th và ngày 18 tháng XNUMX^th, những kẻ tấn công dường như đã thừa nhận những sai sót này và ngoài việc sử dụng phương pháp chuỗi trả lời, chúng còn chuyển từ macro VBA sang tệp OneNote (ONE) với VBScripts được nhúng. Nếu nạn nhân mở tệp, họ sẽ được chào đón bởi trang trông giống như một trang OneNote được bảo vệ, yêu cầu họ bấm vào nút Xem để xem nội dung. Đằng sau phần tử đồ họa này là một VBScript ẩn, được thiết lập để tải xuống Emotet DLL.

Bất chấp cảnh báo của OneNote rằng hành động này có thể dẫn đến nội dung độc hại, mọi người có xu hướng nhấp vào các lời nhắc tương tự theo thói quen và do đó có khả năng cho phép kẻ tấn công xâm phạm thiết bị của họ.

Chiến dịch cuối cùng được quan sát trong phép đo từ xa của ESET đã được khởi chạy vào ngày 20 tháng XNUMX^th, tận dụng ngày đáo hạn thuế thu nhập sắp tới ở Hoa Kỳ. Các email độc hại được gửi bởi botnet giả vờ đến từ cơ quan thuế vụ Hoa Kỳ (IRS) và mang một tệp lưu trữ đính kèm có tên W-9 form.zip. Tệp ZIP đi kèm chứa tài liệu Word có macro VBA độc hại được nhúng mà nạn nhân dự định có thể phải cho phép. Ngoài chiến dịch này, được nhắm mục tiêu cụ thể đến Hoa Kỳ, chúng tôi cũng đã quan sát thấy một chiến dịch khác sử dụng phương pháp tiếp cận OneNote và VBScripts nhúng đang được tiến hành cùng lúc.

Như có thể thấy trong Hình 3, hầu hết các cuộc tấn công được ESET phát hiện đều nhằm vào Nhật Bản (43%), Ý (13%), mặc dù những con số này có thể bị sai lệch bởi cơ sở người dùng ESET mạnh ở các khu vực này. Sau khi loại bỏ hai quốc gia hàng đầu đó (để tập trung vào phần còn lại của thế giới), trong Hình 4, có thể thấy phần còn lại của thế giới cũng bị ảnh hưởng, với Tây Ban Nha (5%) ở vị trí thứ ba, tiếp theo là Mexico (5 %) và Nam Phi (4%).

Hình 3. Số lần phát hiện biểu tượng cảm xúc từ tháng 2022 năm 2023 – tháng XNUMX năm XNUMX

Hình 4. Số lần phát hiện biểu tượng cảm xúc từ tháng 2022 năm 2023 – tháng XNUMX năm XNUMX (loại trừ JP và CNTT)

Tăng cường bảo vệ và obfuscations

Sau khi xuất hiện trở lại, Emotet đã nhận được nhiều bản nâng cấp. Tính năng đáng chú ý đầu tiên là botnet đã chuyển đổi sơ đồ mã hóa của nó. Trước khi bị gỡ xuống, Emotet đã sử dụng RSA làm sơ đồ bất đối xứng chính của chúng và sau khi xuất hiện trở lại, mạng botnet bắt đầu sử dụng mật mã đường cong Elliptic. Hiện tại mọi mô-đun Trình tải xuống (còn được gọi là mô-đun Chính) đều đi kèm với hai khóa chung được nhúng. Một cái được sử dụng cho giao thức trao đổi khóa Diffie Hellman theo đường cong Elliptic và cái còn lại được sử dụng để xác minh chữ ký – Thuật toán chữ ký số.

Ngoài việc cập nhật phần mềm độc hại Emotet lên kiến ​​trúc 64-bit, Mealybug cũng đã triển khai nhiều biện pháp che giấu mới để bảo vệ các mô-đun của chúng. Sự xáo trộn đáng chú ý đầu tiên là làm phẳng luồng điều khiển, điều này có thể làm chậm đáng kể quá trình phân tích và định vị các phần mã thú vị trong các mô-đun của Emotet.

Rệp sáp cũng đã triển khai và cải thiện việc triển khai nhiều kỹ thuật ngẫu nhiên hóa, trong đó đáng chú ý nhất là ngẫu nhiên hóa thứ tự các thành viên cấu trúc và ngẫu nhiên hóa các hướng dẫn tính toán hằng số (hằng số được che dấu).

Một cập nhật đáng nói khác đã xảy ra trong quý cuối cùng của năm 2022, khi các mô-đun bắt đầu sử dụng hàng đợi hẹn giờ. Với những chức năng đó, chức năng chính của mô-đun và phần giao tiếp của mô-đun được đặt thành chức năng gọi lại, được gọi bởi nhiều luồng và tất cả điều này được kết hợp với quá trình làm phẳng luồng điều khiển, trong đó giá trị trạng thái quản lý khối mã nào là được gọi được chia sẻ giữa các chủ đề. Sự che giấu này làm tăng thêm một trở ngại khác trong phân tích và làm cho việc theo dõi quy trình thực thi trở nên khó khăn hơn.

Mô-đun mới

Để duy trì phần mềm độc hại có lợi nhuận và phổ biến, Mealybug đã triển khai nhiều mô-đun mới, được hiển thị bằng màu vàng trong Hình 5. Một số mô-đun được tạo ra như một cơ chế phòng thủ cho mạng botnet, một số mô-đun khác để phát tán phần mềm độc hại hiệu quả hơn và cuối cùng nhưng không kém phần quan trọng là một mô-đun đánh cắp thông tin có thể được sử dụng để đánh cắp tiền của nạn nhân.

Hình 5. Các mô-đun được sử dụng thường xuyên nhất của Emotet. Màu đỏ tồn tại trước khi gỡ xuống; màu vàng xuất hiện sau khi trở lại

Trình đánh cắp email Thunderbird và Trình đánh cắp liên hệ Thunderbird

Emotet lây lan qua email spam và mọi người thường tin tưởng những email đó, vì Emotet sử dụng thành công kỹ thuật chiếm quyền điều khiển chuỗi email. Trước khi gỡ xuống, Emotet đã sử dụng các mô-đun mà chúng tôi gọi là Trình đánh cắp liên hệ Outlook và Trình đánh cắp email Outlook, có khả năng đánh cắp email và thông tin liên hệ từ Outlook. Nhưng vì không phải ai cũng sử dụng Outlook nên sau khi gỡ xuống, Emotet cũng tập trung vào một ứng dụng email thay thế miễn phí – Thunderbird.

Emotet có thể triển khai mô-đun Trình đánh cắp email Thunderbird cho máy tính bị xâm nhập, mô-đun này (như tên gợi ý) có khả năng đánh cắp email. Mô-đun tìm kiếm thông qua các tệp Thunderbird chứa tin nhắn đã nhận (ở định dạng MBOX) và đánh cắp dữ liệu từ nhiều trường bao gồm người gửi, người nhận, chủ đề, ngày tháng và nội dung của tin nhắn. Tất cả thông tin bị đánh cắp sau đó được gửi đến máy chủ C&C để xử lý thêm.

Cùng với Trình đánh cắp email Thunderbird, Emotet cũng triển khai Trình đánh cắp liên hệ Thunderbird, có khả năng đánh cắp thông tin liên hệ từ Thunderbird. Mô-đun này cũng tìm kiếm thông qua các tệp Thunderbird, lần này tìm kiếm cả tin nhắn đã nhận và đã gửi. Sự khác biệt là mô-đun này chỉ trích xuất thông tin từ Từ:, Đến:, CC: và Cc: các trường và tạo một biểu đồ nội bộ về người đã giao tiếp với ai, trong đó các nút là người và có một ranh giới giữa hai người nếu họ giao tiếp với nhau. Trong bước tiếp theo, mô-đun sắp xếp các liên hệ bị đánh cắp – bắt đầu với những người có mối liên hệ với nhau nhiều nhất – và gửi thông tin này đến máy chủ C&C.

Tất cả nỗ lực này được bổ sung bởi hai mô-đun bổ sung (đã tồn tại trước khi gỡ xuống) – mô-đun Kẻ đánh cắp MailPassView và mô-đun Spammer. MailPassView Stealer lạm dụng một công cụ NirSoft hợp pháp để khôi phục mật khẩu và đánh cắp thông tin xác thực từ các ứng dụng email. Khi các email, thông tin đăng nhập bị đánh cắp và thông tin về người liên hệ với ai được xử lý, Mealybug tạo các email độc hại giống như thư trả lời cho các cuộc hội thoại bị đánh cắp trước đó và gửi những email đó cùng với thông tin đăng nhập bị đánh cắp tới mô-đun Spammer sử dụng các thông tin đăng nhập đó để gửi trả lời độc hại cho các cuộc hội thoại email trước qua SMTP.

Kẻ đánh cắp thẻ tín dụng Google Chrome

Đúng như tên gọi, Google Chrome Credit Card Stealer đánh cắp thông tin về thẻ tín dụng được lưu trữ trong trình duyệt Google Chrome. Để đạt được điều này, mô-đun sử dụng thư viện SQLite3 được liên kết tĩnh để truy cập tệp cơ sở dữ liệu Dữ liệu Web thường nằm trong %LOCALAPPDATA%GoogleChromeDữ liệu người dùngDữ liệu web mặc định. Mô-đun truy vấn bảng thẻ tín dụng cho tên_của_thẻ, hết hạn_tháng, hết hạn_nămvà thẻ_số_mã_hóa, chứa thông tin về thẻ tín dụng được lưu trong cấu hình Google Chrome mặc định. Ở bước cuối cùng, giá trị mã hóa_số_thẻ được giải mã bằng khóa được lưu trữ trong %LOCALAPPDATA%GoogleChromeDữ liệu người dùngTệp trạng thái cục bộ và tất cả thông tin được gửi đến máy chủ C&C.

Mô-đun Systeminfo và Hardwareinfo

Ngay sau khi Emotet trở lại, vào tháng 2021 năm XNUMX, một mô-đun mới mà chúng tôi gọi là Systeminfo đã xuất hiện. Mô-đun này thu thập thông tin về một hệ thống bị xâm nhập và gửi thông tin đó đến máy chủ C&C. Thông tin được thu thập bao gồm:

• Đầu ra của systeminfo lệnh
• Đầu ra của ipconfig / all lệnh
• Đầu ra của thử nghiệm /dclist: lệnh (đã xóa vào tháng 2022 năm XNUMX)
• Danh sách xử lý
• Thời gian hoạt động (thu được qua NhậnĐếmTick) tính bằng giây (đã xóa vào tháng 2022 năm XNUMX)

In 2022 Tháng Mười Các nhà khai thác của Emotet đã phát hành một mô-đun mới khác mà chúng tôi gọi là Hardwareinfo. Mặc dù nó không đánh cắp thông tin độc quyền về phần cứng của máy bị xâm nhập, nhưng nó đóng vai trò là nguồn thông tin bổ sung cho mô-đun Systeminfo. Mô-đun này thu thập dữ liệu sau từ máy bị xâm nhập:

• tên máy tính
• Tên đăng nhập (Username)
• Thông tin phiên bản hệ điều hành, bao gồm số phiên bản chính và phụ
• ID phiên
• Chuỗi thương hiệu CPU
• Thông tin về dung lượng và mức sử dụng RAM

Cả hai mô-đun đều có một mục đích chính – xác minh xem thông tin liên lạc có đến từ nạn nhân bị xâm phạm hợp pháp hay không. Emotet, đặc biệt là sau khi trở lại, là một chủ đề thực sự nóng trong ngành bảo mật máy tính và giữa các nhà nghiên cứu, vì vậy Mealybug đã cố gắng hết sức để bảo vệ bản thân khỏi bị theo dõi và giám sát các hoạt động của chúng. Nhờ thông tin được thu thập bởi hai mô-đun không chỉ thu thập dữ liệu mà còn chứa các thủ thuật chống theo dõi và chống phân tích, khả năng phân biệt nạn nhân thực sự của Mealybug với các hoạt động của nhà nghiên cứu phần mềm độc hại hoặc hộp cát đã được cải thiện đáng kể.

Cái gì tiếp theo?

Theo nghiên cứu và phép đo từ xa của ESET, cả hai Kỷ nguyên của botnet đều im ắng kể từ đầu tháng 2023 năm XNUMX. Hiện tại vẫn chưa rõ liệu đây có phải là một kỳ nghỉ nữa của các tác giả hay không, liệu họ có phải vật lộn để tìm ra vật trung gian lây nhiễm hiệu quả mới hay không. có ai đó mới điều hành mạng botnet.

Mặc dù chúng tôi không thể xác nhận tin đồn rằng một hoặc cả hai Kỷ nguyên của mạng botnet đã được bán cho ai đó vào tháng 2023 năm XNUMX, nhưng chúng tôi đã nhận thấy một hoạt động bất thường trên một trong các Kỷ nguyên. Bản cập nhật mới nhất của mô-đun trình tải xuống chứa một chức năng mới, ghi nhật ký các trạng thái bên trong của mô-đun và theo dõi quá trình thực thi của nó vào một tệp C:JSmithLoader (Hình 6, Hình 7). Bởi vì tệp này phải tồn tại để thực sự ghi nhật ký nội dung nào đó, nên chức năng này giống như đầu ra gỡ lỗi cho người không hoàn toàn hiểu mô-đun làm gì và hoạt động như thế nào. Hơn nữa, vào thời điểm đó botnet cũng đang phát tán rộng rãi các mô-đun Spammer, được coi là quý giá hơn đối với Mealybug vì trong lịch sử, chúng chỉ sử dụng các mô-đun này trên các máy được chúng coi là an toàn.

Hình 6. Ghi nhật ký hành vi của mô-đun trình tải xuống

Hình 7. Ghi nhật ký hành vi của mô-đun trình tải xuống

Cho dù lời giải thích nào về lý do tại sao botnet im ắng bây giờ là đúng, Emotet đã được biết đến với tính hiệu quả của nó và những người điều hành nó đã nỗ lực xây dựng lại và duy trì botnet và thậm chí thêm một số cải tiến, vì vậy hãy theo dõi blog của chúng tôi để xem tương lai sẽ mang lại điều gì chúng ta.

IoC

Các tập tin

mạng

Kỹ thuật MITER ATT & CK

Bảng này được tạo bằng cách sử dụng phiên bản 12 của các kỹ thuật doanh nghiệp MITRE ATT&CK.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet/