Emotet - من حصان طروادة المصرفي إلى أكبر شبكة روبوتات

نوفمبر 19, 2020 ب OPSWAT

شارك هذا المنشور

المؤلف: إيتاي بوشنر

ملخص

ظهر اسم Emotet في الأخبار في كثير من الأحيان مؤخرا بعد فترة طويلة تحت الرادار ، خاصة في سياق هجمات برامج الفدية واسعة النطاق وحملات التصيد الاحتيالي المتقدمة. إنه حصان طروادة متقدم يتم توزيعه بشكل شائع باستخدام مرفقات وروابط البريد الإلكتروني التي ، بمجرد النقر عليها ، تطلق الحمولة. يعمل Emotet كقطارة للبرامج الضارة الأخرى.

ما الذي يجعل Emotet مميزا لدرجة أنه أصبح أكبر شبكة روبوتات يستخدمها ممثلو التهديد؟

لفهم أننا سنبدأ من البداية ...

شرح إيموتيت

تم التعرف على Emotet لأول مرة في عام 2014 عندما تأثر عملاء البنوك الألمانية والنمساوية بحصان طروادة. تم تطويره كحصان طروادة بسيط مع القدرة على سرقة المعلومات الحساسة والخاصة. مع تطورها ، اكتسبت المزيد من الوظائف ، مثل خدمات توصيل البريد العشوائي والبرامج الضارة (قطارة) التي ، بعد إصابة جهاز الكمبيوتر ، قامت بتثبيت برامج ضارة أخرى. عادة ما يتم إسقاط البرامج التالية:

TrickBot - حصان طروادة مصرفي يحاول الوصول إلى بيانات تسجيل الدخول للحسابات المصرفية.
Ryuk : برنامج فدية يقوم بتشفير البيانات ويمنع مستخدم الكمبيوتر من الوصول إلى هذه البيانات أو النظام بأكمله.

ينتشر Emotet بميزات تشبه الدودة عبر مرفقات البريد الإلكتروني للتصيد الاحتيالي أو الروابط التي تحمل مرفق تصيد احتيالي. بعد فتحه ، يعمل Emotet على الانتشار عبر الشبكة عن طريق تخمين بيانات اعتماد المسؤول واستخدامها للكتابة عن بعد إلى محركات الأقراص المشتركة باستخدام بروتوكول مشاركة ملفات SMB ، والذي يمنح المهاجم القدرة على التحرك أفقيا عبر الشبكة.

وفقا ل US-CISA:

Emotet هو حصان طروادة متقدم ينتشر بشكل أساسي عبر مرفقات وروابط البريد الإلكتروني للتصيد الاحتيالي والتي ، بمجرد النقر عليها ، تطلق الحمولة (التصيد الاحتيالي: مرفق التصيد الاحتيالي [T1566.001] ، التصيد الاحتيالي: رابط التصيد بالرمح [T1566.002]). تحاول البرامج الضارة بعد ذلك الانتشار داخل الشبكة عن طريق فرض بيانات اعتماد المستخدم الغاشمة والكتابة إلى مساحات Drive المشتركة (القوة الغاشمة: تخمين كلمة المرور [T1110.001] ، الحسابات الصالحة: الحسابات المحلية [T1078.003] ، الخدمات عن بعد: أسهم مسؤول SMB / Windows [T1021.002]).

يؤكد ما سبق على سبب صعوبة منع Emotet ، بسبب تقنيات التهرب الخاصة والميزات "الشبيهة بالديدان" التي تمكنه من الانتشار بشكل مستقل أفقيا داخل الشبكة.

ميزة رئيسية أخرى هي أن Emotet يستخدم مكتبات DLL المعيارية (مكتبات الارتباط الديناميكي) لتطوير قدراته وتحديثها باستمرار.

الأنشطة الأخيرة

كانت هناك تقارير عديدة تشير إلى زيادة كبيرة في استخدام Emotet

ارتفعت الهجمات المكتشفة باستخدام Emotet Trojan بأكثر من 1200٪ من الربع الثاني إلى الربع الثالث من هذا العام ، مما دعم زيادة في حملات برامج الفدية ، وفقا لأحدث البيانات الصادرة عن شركة HP Inc.
(https://www.infosecurity-magazine.com/news/ransomware-alert-as-emotet/)
منذ يوليو 2020 ، شهد CISA نشاطا متزايدا يتضمن المؤشرات المرتبطة ب Emotet. خلال ذلك الوقت ، اكتشف نظام EINSTEIN للكشف عن التسلل التابع ل CISA ، والذي يحمي شبكات الفروع الفيدرالية والمدنية والتنفيذية ، ما يقرب من 16000 تنبيه يتعلق بنشاط Emotet.
(https://us-cert.cisa.gov/ncas/alerts/aa20-280a)
حذرت مايكروسوفت وإيطاليا وهولندا الشهر الماضي من ارتفاع في نشاط البريد العشوائي الضار Emotet ، والذي جاء بعد أسابيع قليلة من إصدار فرنسا واليابان ونيوزيلندا تنبيهاتها بشأن Emotet.
(https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/)
في الأسابيع الأخيرة ، رأينا المزيد من Emotet Malspam
(https://unit42.paloaltonetworks.com/emotet-thread-hijacking/)

ما هو فريد تماما في سلوك Emotet خلال هذه الموجة الجديدة هو تغيير حملات البريد العشوائي في Emotet ، والتي تستفيد الآن أيضا من ملفات ZIP المحمية بكلمة مرور بدلا من مستندات Office.

الفكرة هي أنه باستخدام الملفات المحمية بكلمة مرور ، لا يمكن لبوابات أمان البريد الإلكتروني فتح الأرشيف لفحص محتواه ولن ترى آثار البرامج الضارة Emotet بالداخل.

كما تثبيتت بالو ألتو نتوركس تقنية جديدة تستخدمها Emotet تسمى Thread Hijacking. إنها تقنية هجوم بريد إلكتروني تستخدم الرسائل الشرعية المسروقة من عملاء البريد الإلكتروني لأجهزة الكمبيوتر المتضررة. يقوم Malspam هذا بمحاكاة شخصية مستخدم شرعي وانتحال شخصية الرد على البريد الإلكتروني المسروق. يتم إرسال Malspam المختطفة إلى عناوين من الرسالة الأصلية.