經(jīng)過將近兩個(gè)月的沉寂，Emotet僵尸網(wǎng)絡(luò)又回來了，更新了有效載荷，并開展了每天打擊10萬個(gè)目標(biāo)的攻擊活動(dòng)。

Emotet在2014年開始作為一個(gè)銀行木馬，并不斷發(fā)展成為一個(gè)全方位的威脅傳輸機(jī)制。它可以在受害者機(jī)器上安裝一系列的惡意軟件，包括信息竊取器、電子郵件采集器、自我傳播機(jī)制和勒索軟件。它最后一次出現(xiàn)在10月份，攻擊主要是針對(duì)民主黨全國委員會(huì)(DNC)的志愿者;而在此之前，它活動(dòng)停頓了5個(gè)月后，于7月份又開始活躍，開始投放Trickbot木馬。在此之前的2月份，在一次偽造發(fā)送來自受害者銀行短信的攻擊活動(dòng)中，人們看到了它的身影。

[[360480]]

"Emotet僵尸網(wǎng)絡(luò)是在活躍狀態(tài)下攻擊次數(shù)非常多的惡意電子郵件發(fā)送者之一，但它經(jīng)常休眠數(shù)周或數(shù)月，"Cofense的研究員Brad Haas在周二的博客中說。"今年，有一次這樣的休眠從2月份一直持續(xù)到了7月中旬，這是Cofense在過去的幾年中看到的最長的休眠時(shí)間。從那時(shí)起，他們觀察到Emotet的常規(guī)活動(dòng)一直持續(xù)到10月底，但從那時(shí)起直到今天都沒有收到任何消息。"

研究人員表示，該僵尸網(wǎng)絡(luò)的有效載荷一直是保持了原樣，沒有變化。"在10月份，最常見的有效載荷是TrickBot，Qakbot和ZLoader;今天我們觀察到TrickBot，"根據(jù)Haas的說法。

TrickBot惡意軟件是一款知名的而且復(fù)雜的木馬，最早是在2016年是被作為銀行惡意軟件而開發(fā)出來的--和Emotet一樣，它過去也有改變自身并添加新功能以逃避檢測或加強(qiáng)感染能力的行為。感染TrickBot木馬的用戶將看到他們的設(shè)備成為僵尸網(wǎng)絡(luò)的一部分，攻擊者用它來加載第二階段的惡意軟件--研究人員稱它是 "幾乎任何其他惡意軟件有效載荷的理想的投放器"。

TrickBot感染后典型的后果是銀行賬戶被接管、電信詐騙和勒索軟件攻擊。它最近實(shí)現(xiàn)了檢查目標(biāo)系統(tǒng)的UEFI/BIOS固件的功能。微軟和其他公司在10月對(duì)該惡意軟件的基礎(chǔ)架構(gòu)進(jìn)行研究攻破后，它又卷土重來了。

幾家安全公司發(fā)現(xiàn)了最新的攻擊活動(dòng)，Proofpoint通過Twitter指出："我們看到了10萬多條英語、德語、西班牙語、意大利語等語言的信息。攻擊的誘餌主要使用Word附件的線程劫持、被密碼保護(hù)的壓縮包和惡意URL等手段。"

線程劫持是Emotet在秋季時(shí)增加的一個(gè)攻擊方式，該攻擊方式被Palo Alto Networks的研究人員發(fā)現(xiàn)。操作者會(huì)將病毒插入到電子郵件中，用以回復(fù)目標(biāo)發(fā)送的真實(shí)電子郵件。這樣收件人沒有理由認(rèn)為這封郵件是惡意的。

Proofpoint威脅研究和檢測高級(jí)總監(jiān)Sherrod DeGrippo告訴Threatpost，本周的活動(dòng)對(duì)于Emotet來說是非常正常的活動(dòng)。

"我們的團(tuán)隊(duì)仍在審計(jì)新的樣本，到目前為止，我們只發(fā)現(xiàn)了非常微小的變化。例如，Emotet的形式現(xiàn)在被做成了一個(gè)DLL而不是一個(gè).exe，"DeGrippo說。"當(dāng)Emotet發(fā)動(dòng)攻擊時(shí)，我們通常會(huì)觀察到每天有數(shù)十萬封電子郵件被發(fā)送出去。這次攻擊活動(dòng)與他們的情況差不多。由于這些攻擊正在進(jìn)行中，我們正在實(shí)時(shí)計(jì)數(shù)進(jìn)行更新。這些攻擊活動(dòng)的數(shù)量與過去的其他攻擊活動(dòng)類似，一般每天在10萬到50萬次左右。"

她補(bǔ)充說，這次攻擊活動(dòng)最有趣的是時(shí)間點(diǎn)。

"我們通常會(huì)看到Emotet在12月24日到1月初停止攻擊，"她指出。"如果他們一直保持這種方式，那么最近的這種攻擊對(duì)于他們來說將是非常短暫而且不尋常的。"

Malwarebytes研究人員同時(shí)指出，網(wǎng)絡(luò)攻擊者正在交替使用不同的釣魚誘餌，以便對(duì)用戶進(jìn)行社交工程學(xué)攻擊，使其啟用宏。同時(shí)包括使用以COVID-19為主題的釣魚誘餌。研究人員還觀察到Emotet團(tuán)伙用偽造的錯(cuò)誤信息加載有效載荷。

Haas的Cofense團(tuán)隊(duì)觀察到了同樣的攻擊活動(dòng)，并指出這標(biāo)志著Emotet團(tuán)伙進(jìn)行了技術(shù)的革新。

"新的Emotet maldoc發(fā)生了一個(gè)明顯的變化，可能是為了防止受害者注意到他們已經(jīng)被感染了，"他說。"該文檔仍然包含安裝Emotet的惡意宏代碼，并且仍然顯示是一個(gè) "受保護(hù) "的文檔，需要用戶啟用宏才能打開它。舊版本在啟用宏后不會(huì)給出任何可見的響應(yīng)，這可能會(huì)讓受害者產(chǎn)生懷疑。新版本會(huì)創(chuàng)建一個(gè)對(duì)話框，說 "Word在嘗試打開文件時(shí)遇到了錯(cuò)誤"。這會(huì)給用戶一個(gè)解釋，為什么他們沒有看到預(yù)期的內(nèi)容，并使他們更有可能忽略發(fā)生的整個(gè)事件，而此時(shí)Emotet已經(jīng)開始在后臺(tái)運(yùn)行了。"

DeGrippo告訴Threatpost，對(duì)這些郵件的初步觀察表明，一些線程被劫持后會(huì)要求收件人打開一個(gè).zip附件，并需要提供密碼進(jìn)行訪問。

研究人員表示，該惡意軟件的再次出現(xiàn)，雖然與之前的活動(dòng)相比并沒有任何改變，但它應(yīng)該值得被管理員關(guān)注。

關(guān)于"Emotet "，最令人擔(dān)心的是它與其他犯罪分子聯(lián)手發(fā)動(dòng)攻擊，特別是那些從事勒索軟件業(yè)務(wù)的犯罪分子。Emotet - TrickBot – Ryuk組合在2018年圣誕節(jié)前后造成了嚴(yán)重的破壞，"根據(jù)Malwarebytes的說法。"雖然一些網(wǎng)絡(luò)攻擊者也會(huì)過假期，但當(dāng)許多公司的工作人員減少時(shí)，此時(shí)就是發(fā)起新一輪攻擊的絕佳時(shí)機(jī)。鑒于流行病的爆發(fā)和最近的SolarWinds事件，今年的局勢更加關(guān)鍵。我們敦促各組織需要特別警惕，繼續(xù)采取措施保護(hù)網(wǎng)絡(luò)安全，特別是安全政策和訪問控制方面的保護(hù)。"

本文翻譯自：https://threatpost.com/emotet-returns-100k-mailboxes/162584/