是的，你沒看錯(cuò)，Emotet惡意軟件竟然也被別人黑了!近日，有人為了拿Emotet僵尸網(wǎng)絡(luò)來開涮，竟然直接入侵了Emotet惡意軟件的分發(fā)站點(diǎn)，并替換掉了Emotet原本所使用的惡意Payload以及GIF圖片。

研究人員發(fā)現(xiàn)，這一次針對(duì)Emotet惡意軟件的攻擊活動(dòng)在過去的幾天時(shí)間里一直都在進(jìn)行，而這一次的攻擊活動(dòng)也導(dǎo)致Emotet垃圾郵件活動(dòng)暫停了一段時(shí)間，因?yàn)樗麄冃枰朕k法重新拿回自己Emotet分發(fā)網(wǎng)站的控制權(quán)限。

[[335676]]

大家應(yīng)該都知道，Emotet的發(fā)行和傳播依賴于這些被黑客攻擊的網(wǎng)站，網(wǎng)絡(luò)犯罪分子需要利用這些網(wǎng)站來存儲(chǔ)用于垃圾郵件活動(dòng)的攻擊Payload。

當(dāng)垃圾郵件活動(dòng)的目標(biāo)用戶受騙上當(dāng)并打開了垃圾郵件的附件時(shí)，嵌入在惡意附件中的惡意宏將會(huì)被執(zhí)行，并從僵尸網(wǎng)絡(luò)中獲取并下載Emotet惡意軟件的Payload。

如果沒有這些惡意Payload，那么目標(biāo)用戶的電腦就不會(huì)被Emotet所控制。因此，無論是和人在僵尸網(wǎng)絡(luò)的分發(fā)網(wǎng)絡(luò)中替換了原本的惡意軟件(Payload)，這一行為都是對(duì)用戶有益的，同時(shí)這一行為也讓Emotet背后的攻擊者忙得不可開交了。

Joseph Roosen是Cryptolaemus研究小組的成員，他一直在跟Emotet惡意軟件打交道，他也將此次針對(duì)Emotet惡意軟件活動(dòng)背后的人稱之為“白衣騎士”。

目前，Emotet僵尸網(wǎng)絡(luò)分發(fā)站點(diǎn)上的惡意文檔以及Payload已經(jīng)被替換成了各種圖片。研究人員打開Emotet惡意軟件的分發(fā)站點(diǎn)之后，首先看到的是詹姆斯·弗蘭科的照片，然后Emotet分發(fā)網(wǎng)站也變成了Hackerman meme的相關(guān)內(nèi)容。

[[335677]]

Roosen在其發(fā)表的推文中寫道：“目前，針對(duì)Emotet惡意軟件的攻擊活動(dòng)仍然處于進(jìn)行之中，受影響的站點(diǎn)是Emotet T1發(fā)行站點(diǎn)，這個(gè)站點(diǎn)主要負(fù)責(zé)托管垃圾郵件活動(dòng)中所使用的惡意附件文檔以及惡意軟件。”

研究人員在接受BleepingComputer的采訪時(shí)表示，Emotet背后的攻擊者之所以將垃圾郵件活動(dòng)置于待命狀態(tài)，就是因?yàn)?ldquo;白衣騎士”這一次的行為。當(dāng)然了，Emotet背后的攻擊者可能會(huì)對(duì)Emotet進(jìn)行一些升級(jí)和改變，以保護(hù)他們的惡意活動(dòng)。

在發(fā)送垃圾郵件時(shí)，Emotet會(huì)使用各種不同的電子郵件模板和惡意附件文檔來實(shí)現(xiàn)惡意軟件的傳播。

有些垃圾郵件會(huì)將惡意Word文檔直接附加到電子郵件中，而其他的一些垃圾郵件則會(huì)包含用戶必須單擊才能下載文檔的鏈接。

對(duì)于那些包含釣魚鏈接的惡意電子郵件，當(dāng)目標(biāo)用戶點(diǎn)擊它們之后，原本應(yīng)該打開和安裝的是惡意文檔/惡意軟件，但現(xiàn)在他們將會(huì)看到一個(gè)meme或毫無意義的圖像。

下面給出的是目前Emotet分發(fā)站點(diǎn)目前的樣子：視頻地址：https://vimeo.com/441369969

微軟網(wǎng)絡(luò)安全研究人員Kevin Beaumont也注意到了此次針對(duì)Emotet的攻擊活動(dòng)，他對(duì)Emotet發(fā)行站點(diǎn)進(jìn)行了檢查，并且發(fā)現(xiàn)其中大約有四分之一的Payload已經(jīng)被GIF圖片所代替了。

研究人員表示，整個(gè)內(nèi)容替換活動(dòng)發(fā)生的非?？?，當(dāng)Emotet上傳了惡意Payload之后，它們便在不到一個(gè)小時(shí)的時(shí)間里全部被替換掉了。除此之外研究人員還發(fā)現(xiàn)，在某些情況下，攻擊者的行動(dòng)速度更加快的驚人，他們竟然可以在不到兩分鐘內(nèi)的時(shí)間里就更換了惡意軟件Payload。

實(shí)際上，Emotet背后的攻擊者一直都在使用Webshell來管理和維護(hù)其分發(fā)網(wǎng)絡(luò)。因此，目前最合理的解釋就是，有人獲取到了Emotet的管理密碼，并決定利用這個(gè)優(yōu)勢(shì)來對(duì)Emotet進(jìn)行攻擊。

Kevin Beaumont在2019年12月底曾通過發(fā)表推文表示，Emotet背后的攻擊者使用了一款開源的Webshell來實(shí)現(xiàn)對(duì)分發(fā)網(wǎng)站的管理和控制，并循環(huán)生成訪問密碼，因?yàn)檫@樣就不必再為修改密碼而煩惱了。但是現(xiàn)在，研究人員相信是有人在Emotet分發(fā)站點(diǎn)上獲取到了Webshell的密碼，并決定以編程的方式替換了站點(diǎn)上原有的惡意Payload。

但是，Roosen還指出，Emotet可能還有其他方法來傳播和投放其惡意Payload，并且可以想辦法重新獲取并訪問他們用來傳播惡意軟件的網(wǎng)站。

如果Emotet背后的攻擊者仍然能夠控制網(wǎng)站托管的硬件設(shè)備，那么他們就可以使用不同的密碼來部署新的Webshell，并重新拿回Emotet分發(fā)網(wǎng)絡(luò)的控制權(quán)。但是，Emotet所使用的服務(wù)器很可能是從其他執(zhí)行流量重定向攻擊的網(wǎng)絡(luò)犯罪分子手上買過來的，而這些重定向攻擊活動(dòng)可以通過釣魚網(wǎng)站或合法網(wǎng)站中的廣告以

及虛假促銷來吸引用戶，并想辦法將用戶騙入各種欺詐活動(dòng)之中。

在本文發(fā)稿之時(shí)，Emotet站點(diǎn)上一些被替換的內(nèi)容已經(jīng)被重定向至其他資源了。