Üretken Emotet botnetinin arkasındaki tehdit aktörü, potansiyel olarak Microsoft’un ürünlerinde varsayılan olarak Visual Basic for Applications (VBA) makrolarını devre dışı bırakma hamlesine yanıt olarak, yeni saldırı yöntemlerini daha büyük hacimli kötü amaçlı spam kampanyalarına dahil etmeden önce küçük bir ölçekte test ediyor. .
Yeni aktiviteyi grubun tipik davranışından bir “ayrılma” olarak adlandırmak, alternatif olarak ProofPoint olasılığı yükseltti kötü amaçlı yazılımı dağıtan en son kimlik avı e-postaları, operatörlerin artık “tipik büyük ölçekli e-posta kampanyalarına paralel olarak daha seçici ve sınırlı saldırılara giriştiklerini” gösteriyor.
İzlenen bir siber suç grubunun eseri olan Emotet TA542 (aka Mumya Örümcek veya Altın Crestwood), saldırı altyapısını yıkmak için koordineli bir kolluk kuvvetleri operasyonunun ardından 10 aylık bir aradan sonra geçen yılın sonlarında bir tür canlanma gerçekleştirdi.
O zamandan beri, Emotet kampanyalar belirli durumlarda kampanya başına bir milyonu aşan mesaj hacmiyle, çeşitli coğrafi bölgelerde on binlerce mesajla binlerce müşteriyi hedeflemiştir.
Kurumsal güvenlik firması tarafından analiz edilen yeni “düşük hacimli” e-posta kampanyası, maaş temalı yemlerin ve yürütüldüğünde Emotet’i bırakan ve çalıştıran Microsoft Excel Eklentisi (XLL) dosyalarını içeren ZIP arşivlerini barındıran OneDrive URL’lerinin kullanımını içeriyordu. yük.
Yeni sosyal mühendislik saldırılarının, diğer yaygın Emotet kampanyalarının askıya alındığı 4 Nisan 2022 ile 19 Nisan 2022 arasında gerçekleştiği söyleniyor.
Makro etkin Microsoft Excel veya Word belge eklerinin olmaması, daha önce gözlemlenen Emotet saldırılarından önemli bir kaymadır ve bu, tehdit aktörünün Microsoft’un Nisan 2022’den itibaren varsayılan olarak VBA makrolarını engelleme planlarını aşmanın bir yolu olarak teknikten uzaklaştığını düşündürmektedir. .
Geliştirme, geçen hafta kötü amaçlı yazılım yazarları olarak da geliyor bir sorunu düzeltti Bu, potansiyel kurbanların silahlı e-posta eklerini açarken güvenliğinin ihlal edilmesini engelledi.
Proofpoint’te tehdit araştırma ve algılama başkan yardımcısı Sherrod DeGrippo, “Aylarca süren tutarlı faaliyetten sonra Emotet işleri değiştiriyor” dedi.
“Tehdit aktörü, yeni davranışları kurbanlara daha geniş bir şekilde sunmadan veya mevcut yüksek hacimli kampanyalarının yanı sıra yeni TTP’ler aracılığıyla dağıtmadan önce küçük ölçekte test ediyor olabilir. Kuruluşlar yeni tekniklerin farkında olmalı ve bunları uyguladıklarından emin olmalıdır. Buna göre savunmalar.”
