近4个月后,几近消失的当前规模最大也最危险的恶意软件僵尸网络 Emotet 又死灰复燃。今年5月末,Emotet的C&C 服务器遭关闭,Emotet停止向受感染的僵尸发送命令和邮件欺诈活动感染新的受害者。一些安全研究员当时认为执法部门已经找到能够关闭它的秘密方式,但事实恰恰相反。SpamHaus 公司的研究员 Raashid Bhat 表示,今天,Emotet 又开始吞吐新的垃圾邮件。Bhat 指出,这些垃圾邮件中包含恶意文件附件或恶意的软件下载链接。这次垃圾邮件活动主要针对的是波兰语和德国用户。收到这些邮件并下载执行其中任意恶意文件的用户易受 Emotet 恶意软件感染。一旦遭感染后,用户的计算机就被纳入 Emotet 僵尸网络中,受感染计算机上的 Emotet 恶意软件是其它威胁的下载器。Emotet能够传播模块,从本地应用中提取密码并横向移动到同样网络上的其它计算机中,甚至窃取整个邮件线程以应用于后续的垃圾邮件活动中。另外,Emotet团伙还将恶意软件当做恶意软件即服务 (MaaS),其它犯罪团伙可以租赁对受感染计算机的访问权限并将自己的恶意软件和 Emotet 一起释放。Emotet 最有名的客户是 Bitpaymer 和 Ryuk 勒索软件的运营人员,后者常常租赁 Emotet 僵尸主机的访问权限,结合勒索软件来感染企业网络或者当地政府机构。对于安全研究人员来说,Emotet的复活并不令人惊奇。虽然 Emotet C&C 服务器在5月底关闭,但它们实际上在8月底就已经复活。刚开始,这些服务器并没有马上发送垃圾邮件。几周来,服务器都闲置不动,为 Emotet的“横向移动”和“凭证窃取”模块提供二进制。Bhat 认为 Emotet 的运营人员几周来都在重新和此前受感染的被他们在5月份放弃的僵尸建立通信,并且传播于本地网络,在开始主要的操作即发送垃圾邮件之前将僵尸网络的规模最大化。上个月就有一些安全研究人员预测到了这种趋势。Emotet 活动在近四个月内销声匿迹的情况并不信箱。恶意软件僵尸网络常常出于不同目的不再活跃。某些僵尸网络是为了升级基础设施,另外一些只是因为操纵人员在休假。例如,Dridex 僵尸网络在每年的12月中旬至1月中旬之间的假期时间“冬眠”。截止本文成稿前,尚不清楚 Emotet 为何会在夏天销声匿迹。不论如何,它现在又重出江湖,继续操纵双重基础设施模式。但是,即使 Emotet 消失了近四个月的时间,其它僵尸网络并未“休息”。TrickBot 僵尸网络已取代 Emotet 成为市面上最活跃的恶意软件活动。二者之间存在很多相似指出。二者都是由银行木马重编称的恶意软件加载器。它们首先感染受害者,其次下载其它模块以窃取凭证或在网络中横向移动。另外,它们都想其它恶意软件团伙出售受感染主机的访问权限如密币挖矿和勒索软件活动。随着 TrickbBot 活动的全面开展,Emotet 的复活对于负责保护企业和政府网络的系统管理员而言是个坏消息。关于文件哈希、服务器 IP 地址、垃圾邮件主题行和其它妥协指标的信息等更多详情可参见:https://twitter.com/search?q=emotet&f=live。
原文链接
https://www.zdnet.com/article/emotet-todays-most-dangerous-botnet-comes-back-to-life/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。