รายงานใหม่เผยเทคนิคการส่งและการหลบหลีกของ Emotet ที่ใช้ในการโจมตีครั้งล่าสุด

รายงานใหม่เผยเทคนิคการส่งและการหลบหลีกของ Emotet ที่ใช้ในการโจมตีครั้งล่าสุด

จากการวิจัยใหม่จาก VMware ผู้คุกคามที่เกี่ยวข้องกับมัลแวร์ Emotet ที่น่าอับอายกำลังเปลี่ยนกลยุทธ์และโครงสร้างพื้นฐานคำสั่งและการควบคุม (C2) อย่างต่อเนื่องเพื่อหลบหนีการตรวจจับ

Emotet เป็นผลงานของผู้คุกคามที่ถูกติดตามในชื่อ Mummy Spider (หรือที่รู้จักในชื่อ TA542) ซึ่งปรากฏเป็นโทรจันธนาคารในเดือนมิถุนายน 2014 ก่อนที่จะกลายเป็นตัวโหลดเอนกประสงค์ในปี 2016 ที่สามารถส่งมอบ payloads ขั้นตอนที่สอง เช่น ransomware

ในขณะที่โครงสร้างพื้นฐานของบอทถูกลบออกโดยเป็นส่วนหนึ่งของการดำเนินการบังคับใช้กฎหมายที่ประสานกันในเดือนมกราคม 2564 Emotet กลับมาในเดือนพฤศจิกายน 2564 ด้วยมัลแวร์อีกตัวหนึ่งที่รู้จักกันในชื่อ TrickBot

Emotet Revival ซึ่งจัดทำโดย Conti Team ที่เลิกใช้งานไปแล้ว ได้ปูทางสำหรับการติดเชื้อ Cobalt Strike และล่าสุด การโจมตี ransomware ที่เกี่ยวข้องกับ Quantum และ BlackCat

ความปลอดภัยทางไซเบอร์

นักวิจัยจากหน่วยวิเคราะห์ภัยคุกคาม (TAU) ของ VMware กล่าวในรายงานที่แบ่งปันกับ The Hacker News

สตรีมการโจมตีของ Emotet ยังมีการใช้เวกเตอร์การโจมตีที่แตกต่างกันเพื่อพยายามอยู่ในความมืดเป็นระยะเวลานาน

การแฮ็กเหล่านี้มักอาศัยคลื่นของสแปมที่ส่งเอกสารที่มีมัลแวร์หรือ URL แบบฝัง ซึ่งเมื่อเปิดหรือคลิก มัลแวร์จะแพร่กระจาย

ในเดือนมกราคมปี 2022 เพียงเดือนเดียว VMware กล่าวว่าได้สังเกตเห็นการโจมตีสามชุดที่แตกต่างกันซึ่งมีการส่ง Emotet payload ผ่านมาโคร Excel 4.0 (XL4), แมโคร XL4 ที่มี PowerShell และมาโคร Visual Basic Application (VBA) โดยใช้ PowerShell

วัฏจักรการติดไวรัสเหล่านี้บางส่วนมีความโดดเด่นในการใช้ไฟล์เรียกทำงานที่ถูกกฎหมายเรียกว่า .ในทางที่ผิด mshta.exe เพื่อเรียกใช้ไฟล์ HTA ที่เป็นอันตรายแล้วปล่อยมัลแวร์ Emotet

“เครื่องมือเช่น mshta และ PowerShell ซึ่งบางครั้งเรียกว่า LOLBIN นั้นเป็นที่นิยมอย่างมากในหมู่ผู้คุกคาม เนื่องจากมีการลงนามโดย Microsoft และเชื่อถือได้โดย Windows” นักวิจัยกล่าว

“สิ่งนี้ช่วยให้ผู้โจมตีทำการโจมตีรองที่สับสน ซึ่งเครื่องมือที่ถูกต้องจะถูกหลอกให้ดำเนินการที่เป็นอันตราย”

การวิเคราะห์เพิ่มเติมของ Emotet DLL ที่ไม่ซ้ำกันเกือบ 25,000 รายการแสดงให้เห็นว่า 26.7% ของบล็อกเหล่านั้นถูกทิ้งโดยเอกสาร Excel มีการระบุชุดโปรแกรมที่แตกต่างกันมากถึง 139 ชุด

การฟื้นตัวของ Emotet ยังเห็นการเปลี่ยนแปลงในโครงสร้างพื้นฐาน C2 โดยนักแสดงดำเนินการกลุ่มบอทใหม่สองกลุ่ม ยุค 4 และ 5. ก่อนที่จะนำออก กระบวนการ Emotet ทำงานบนบ็อตเน็ตแยกกันสามตัวซึ่งเรียกว่า พันธสัญญา 1, 2 และ 3.

ความปลอดภัยทางไซเบอร์

นอกจากนี้ มีการค้นพบเพย์โหลด 10,235 Emotet ในป่าระหว่างวันที่ 15 มีนาคม 2022 ถึง 18 มิถุนายน 2022 และนำเซิร์ฟเวอร์ C2 ที่เป็นของ Epoch 5 กลับมาใช้ใหม่

นอกเหนือจากการเปลี่ยนแปลงที่ทำกับเธรดการดำเนินการและที่อยู่ IP ของ C2 แล้ว Emotet ยังพบการแจกจ่ายปลั๊กอินใหม่ 2 ตัว ปลั๊กอินหนึ่งออกแบบมาเพื่อเก็บข้อมูลบัตรเครดิตจากเบราว์เซอร์ Google Chrome และโมดูลการแจกจ่ายที่ใช้โปรโตคอล SMB สำหรับการเคลื่อนไหวด้านข้าง

องค์ประกอบที่สำคัญอื่นๆ ได้แก่ โมดูลสแปมและการขโมยบัญชีสำหรับไคลเอนต์อีเมล Microsoft Outlook และ Thunderbird

ที่อยู่ IP ส่วนใหญ่ที่ใช้โฮสต์เซิร์ฟเวอร์อยู่ในสหรัฐอเมริกา เยอรมนี และฝรั่งเศส ในทางตรงกันข้าม หน่วย Emotet ส่วนใหญ่เป็นเจ้าภาพในอินเดีย เกาหลี ไทย กานา ฝรั่งเศส และสิงคโปร์

เพื่อป้องกันภัยคุกคามเช่น Emotet ขอแนะนำให้ใช้การกระจายแฟรกเมนต์เครือข่าย บังคับใช้โมเดล Zero Trust และแทนที่กลไกการพิสูจน์ตัวตนที่เป็นค่าเริ่มต้นเพื่อเป็นทางเลือกที่ดีกว่า


#รายงานใหมเผยเทคนคการสงและการหลบหลกของ #Emotet #ทใชในการโจมตครงลาสด

Leave a Comment

Your email address will not be published. Required fields are marked *