Kötü şöhretli Emotet kötü amaçlı yazılımı, kısa bir aradan sonra dönüşartık makro tabanlı güvenlik kısıtlamalarını ve güvenlik açığı sistemlerini aşmak amacıyla Microsoft OneNote e-posta ekleri aracılığıyla dağıtılmaktadır.
Gold Crestwood, Mummy Spider veya TA542 olarak izlenen bir tehdit aktörüyle bağlantılı olan Emotet, kolluk kuvvetlerinin onu indirme girişimlerine rağmen güçlü ve dayanıklı bir tehdit olmaya devam ediyor.
A türev arasında Cridex bankacılık solucanı – hangisiydi daha sonra değiştirildi Dridex tarafından GameOver Zeus’un 2014’te kesintiye uğradığı sıralarda – Emotet gelişmiş “diğer tehdit aktörlerinin yükleme başına ödeme (PPI) modelinde kötü amaçlı kampanyalar yürütmesi için para kazandıran bir platforma, hassas verilerin çalınmasına ve fidye gaspına olanak tanır.”
Emotet enfeksiyonları bir kanal Cobalt Strike, IcedID, Qakbot, Quantum fidye yazılımı ve TrickBot’u teslim etmek için 2021’in sonlarında geri dönüşü TrickBot aracılığıyla kolaylaştırıldı.
Secureworks, “Emotet, genellikle yılda birden çok kez meydana gelen, botnet’in sabit bir durumu koruduğu ancak spam veya kötü amaçlı yazılım yaymadığı uzun süreli hareketsizlik dönemleriyle tanınır.” notlar aktörün profilinde.
Damlalık kötü amaçlı yazılımı, genellikle kötü amaçlı ekler içeren spam e-postalar aracılığıyla dağıtılır. Ancak Microsoft’un indirilen Office dosyalarındaki makroları engellemek için adımlar atmasıyla, OneNote ekleri çekici bir alternatif yol olarak ortaya çıktı.
Malwarebytes, “OneNote dosyası basit ama yine de belgenin korunduğunu belirten sahte bir bildirimle sosyal mühendislik kullanıcıları için etkili.” ifşa yeni bir uyarıda. “Görüntüle düğmesine çift tıklamaları istendiğinde, kurbanlar bunun yerine yanlışlıkla gömülü bir komut dosyasına çift tıklayacak.”
Windows Komut Dosyası Dosyası (WSF), uzak bir sunucudan Emotet ikili yükünü almak ve yürütmek için tasarlanmıştır. Benzer bulgular tarafından yankılandı Cyble, IBM X-Forceve Palo Alto Ağları birim 42.
Bununla birlikte Emotet, kötü niyetli yükü iletmek için makrolar içeren bubi tuzaklı belgeleri kullanmaya devam ediyor ve kullanıcıları makroların saldırı zincirini etkinleştirmesini sağlamaya ikna etmek için sosyal mühendislik cazibelerinden yararlanıyor.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
Bu tür belgelerin, çok büyük bir dosyayı (550 MB’ın üzerinde) ZIP arşivi ekleri içinde radarın altında uçmak için gizlemek için dekompresyon bombası adı verilen bir teknikten yararlandığı gözlemlendi. Cyble, Derin İçgüdü, Hornet güvenliğiVe Trend Mikro.
Bu elde edilir 00 bayt doldurma kötü amaçlı yazılımdan koruma çözümlerinin getirdiği sınırlamaları aşmak için dosya boyutunu yapay olarak şişirmek için belgenin sonunda.
En son gelişme, tespit imzalarından kaçınmak için ilk teslimat için ataşman türlerini değiştirmede operatörlerin esnekliğinin ve çevikliğinin bir işaretidir. Aynı zamanda bir ani yükselişin ortasında geliyor tehdit aktörleri kullanarak OneNote belgeleri AsyncRAT, Icedid, RedLine Stealer, Qakbot ve XWorm gibi çok çeşitli kötü amaçlı yazılımları dağıtmak için.
Buna göre kafes2023’teki kötü amaçlı OneNote algılamalarının çoğu, imalat, yüksek teknoloji, telekom, finans ile ABD, Güney Kore, Almanya, Suudi Arabistan, Polonya, Hindistan, Birleşik Krallık, İtalya, Japonya ve Hırvatistan’da rapor edildi. ve enerji en çok hedeflenen sektörler olarak ortaya çıkıyor.