Selon une nouvelle étude de VMware, les acteurs de la menace associés au célèbre malware Emotet modifient continuellement leurs tactiques et leur infrastructure de commande et de contrôle (C2) pour échapper à la détection.
émoticône est l’œuvre d’un acteur menaçant suivi sous le nom de Mummy Spider (alias TA542), émergeant en juin 2014 comme un cheval de Troie bancaire avant de se transformer en un chargeur polyvalent en 2016 capable de fournir des charges utiles de deuxième étape telles que des ransomwares.
Alors que l’infrastructure du botnet a été supprimée dans le cadre d’une opération coordonnée d’application de la loi en janvier 2021, Emotet a rebondi en novembre 2021 grâce à un autre malware connu sous le nom de TrickBot.
La résurrection d’Emotet, orchestrée par l’équipe Conti aujourd’hui disparue, a depuis ouvert la voie aux infections de Cobalt Strike et, plus récemment, aux attaques de rançongiciels impliquant Quantum et BlackCat.
“L’adaptation continue de la chaîne d’exécution d’Emotet est l’une des raisons pour lesquelles le malware a réussi pendant si longtemps”, ont déclaré des chercheurs de l’unité d’analyse des menaces (TAU) de VMware dans un rapport partagé avec The Hacker News.
Les flux d’attaques Emotet se caractérisent également par l’utilisation de différents vecteurs d’attaque dans le but de rester cachés pendant de longues périodes.
Ces intrusions reposent généralement sur des vagues de messages de spam qui fournissent des documents contenant des logiciels malveillants ou des URL intégrées, qui, lorsqu’ils sont ouverts ou cliqués, conduisent au déploiement du logiciel malveillant.
Rien qu’en janvier 2022, VMware a déclaré avoir observé trois séries d’attaques différentes dans lesquelles la charge utile Emotet était livrée via une macro Excel 4.0 (XL4), une macro XL4 avec PowerShell et une macro Visual Basic Application (VBA) avec PowerShell.
Certains de ces cycles de vie d’infection se sont également distingués par l’abus d’un exécutable légitime appelé mshta.exe pour lancer un fichier HTA malveillant, puis déposez le malware Emotet.
“Des outils tels que mshta et PowerShell, qui sont parfois appelés binaires vivant hors de la terre (LOLBIN), sont très populaires parmi les acteurs de la menace car ils sont signés par Microsoft et approuvés par Windows”, ont déclaré les chercheurs.
“Cela permet à l’attaquant d’effectuer une attaque adjointe confuse, dans laquelle des outils légitimes sont trompés pour exécuter des actions malveillantes.”
Une analyse plus approfondie de près de 25 000 artefacts DLL Emotet uniques montre que 26,7 % d’entre eux ont été supprimés par des documents Excel. Pas moins de 139 chaînes de programmes distinctes ont été identifiées.
La réémergence d’Emotet a également été marquée par un changement dans l’infrastructure C2, l’acteur menaçant exploitant deux nouveaux clusters de botnets baptisés Époques 4 et 5. Avant le retrait, l’opération Emotet fonctionnait sur trois botnets distincts appelés Époques 1, 2 et 3.
En plus de cela, 10 235 charges utiles Emotet détectées dans la nature entre le 15 mars 2022 et le 18 juin 2022 ont réutilisé des serveurs C2 appartenant à l’époque 5.
Mis à part les changements apportés aux chaînes d’exécution et aux adresses IP C2, Emotet a également été repéré en train de distribuer deux nouveaux plugins, l’un conçu pour capturer les données de carte de crédit du navigateur Google Chrome, et un module d’épandage qui utilise le protocole SMB pour le mouvement latéral.
D’autres composants importants incluent un module de spam et des voleurs de compte pour les clients de messagerie Microsoft Outlook et Thunderbird.
La majorité des adresses IP utilisées pour héberger les serveurs se trouvaient aux États-Unis, en Allemagne et en France. En revanche, la plupart des modules Emotet étaient hébergés en Inde, en Corée, en Thaïlande, au Ghana, en France et à Singapour.
Pour se protéger contre les menaces comme Emotet, il est recommandé de mettre en œuvre la segmentation du réseau, d’appliquer un modèle Zero Trust et de remplacer les mécanismes d’authentification par défaut par des alternatives plus solides.