在监控 Emotet 僵尸网络当前的活动时,安全研究人员发现 Quantum 和 BlackCat 勒索软件团伙现在正在使用该恶意软件来部署其有效载荷。
这是一个有趣的发展,因为 Conti 网络犯罪集团是之前在 6 月关闭之前使用僵尸网络的集团。
在国际执法行动于2021 年初摧毁Emotet 的基础设施后,Conti 集团是11 月策划复出的组织。
情报公司 AdvIntel 的安全研究人员表示: “Emotet 僵尸网络(也称为 SpmTools)已经为主要的网络犯罪集团助长,作为许多持续攻击的初始攻击媒介或前兆。 ”
“从 2021 年 11 月到 Conti 于 2022 年 6 月解散,Emotet 是 Conti 专有的勒索软件工具,但 Emotet 感染链目前归属于 Quantum 和 BlackCat。”
据 AdvIntel 称,该僵尸网络现在被用于在受感染系统上安装 Cobalt Strike 信标作为第二阶段的有效载荷,允许攻击者横向移动并在受害者的网络中部署勒索软件有效载荷。
这与 Conti 的攻击流程相匹配,其中包括 Emotet 在其复兴后,减去通过 TrickBot 僵尸网络的初始访问向量。
AdvIntel 表示,自今年年初以来,Emotet 已经造成了相当大的破坏,因为它已经跟踪了全球超过 1,200,000 个被 Emotet 感染的系统,活动高峰期在 2 月至 3 月之间。
AdvIntel 的评估在 6 月得到了 ESET 的证实,ESET 表示,自今年年初以来,它发现Emotet 活动大幅增加,“与 T3 2021 相比增长了 100 倍以上”。
Agari 在 8 月份还透露,僵尸网络在第二季度出现了大幅增长,在网络钓鱼活动中取代了 QBot,总共占登陆其客户收件箱的所有恶意软件的 90% 以上。
Emotet恶意软件于 2014 年作为银行木马首次部署在攻击中,并已演变为 TA542 威胁组织(又名Mummy Spider)使用的僵尸网络,用于窃取数据、执行侦察并在受害者的网络中横向移动,以及传递第二阶段的恶意有效载荷。
自 6 月以来,僵尸网络已升级为使用信用卡窃取模块感染潜在受害者,该模块将尝试获取存储在 Google Chrome 用户配置文件中的信用卡信息。
正如Cryptolaemus安全研究小组发现的那样,这一变化是在 4 月份活动增加并切换到 64 位模块之后发生的。
Emotet(就像Qbot和IcedID 一样)也已从使用 Microsoft Office 宏(现在默认禁用)作为感染目标设备的攻击媒介切换到 Windows 快捷方式文件 (.LNK)。
值得庆幸的是,Emotet 活动目前还不是很活跃,大多数恶意软件网络钓鱼活动都围绕 Qbot 和 IcedID 展开。
然而,这可能会迅速改变并导致勒索软件攻击的快速部署,因此 Emotet 仍然是恶意软件防御者必须注意的。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Emotet僵尸网络现在推送Quantum和BlackCat勒索软件
