最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Emotet僵尸网络现在推送Quantum和BlackCat勒索软件

网络安全 快米云 来源:快米云 179浏览

表情符号

在监控 Emotet 僵尸网络当前的活动时,安全研究人员发现 Quantum 和 BlackCat 勒索软件团伙现在正在使用该恶意软件来部署其有效载荷。

这是一个有趣的发展,因为 Conti 网络犯罪集团是之前在 6 月关闭之前使用僵尸网络的集团。

在国际执法行动于2021 年初摧毁Emotet 的基础设施后,Conti 集团是11 月策划复出的组织。

情报公司 AdvIntel 的安全研究人员表示: “Emotet 僵尸网络(也称为 SpmTools)已经为主要的网络犯罪集团助长,作为许多持续攻击的初始攻击媒介或前兆。 ”

“从 2021 年 11 月到 Conti 于 2022 年 6 月解散,Emotet 是 Conti 专有的勒索软件工具,但 Emotet 感染链目前归属于 Quantum 和 BlackCat。”

据 AdvIntel 称,该僵尸网络现在被用于在受感染系统上安装 Cobalt Strike 信标作为第二阶段的有效载荷,允许攻击者横向移动并在受害者的网络中部署勒索软件有效载荷。

这与 Conti 的攻击流程相匹配,其中包括 Emotet 在其复兴后,减去通过 TrickBot 僵尸网络的初始访问向量。

AdvIntel 表示,自今年年初以来,Emotet 已经造成了相当大的破坏,因为它已经跟踪了全球超过 1,200,000 个被 Emotet 感染的系统,活动高峰期在 2 月至 3 月之间。

2022 年的 Emotet 感染
2022 年的 Emotet 感染 (AdvIntel)

AdvIntel 的评估在 6 月得到了 ESET 的证实,ESET 表示,自今年年初以来,它发现Emotet 活动大幅增加,“与 T3 2021 相比增长了 100 倍以上”。

Agari 在 8 月份还透露,僵尸网络在第二季度出现了大幅增长,在网络钓鱼活动中取代了 QBot,总共占登陆其客户收件箱的所有恶意软件的 90% 以上。

Emotet恶意软件于 2014 年作为银行木马首次部署在攻击中,并已演变为 TA542 威胁组织(又名Mummy Spider)使用的僵尸网络,用于窃取数据、执行侦察并在受害者的网络中横向移动,以及传递第二阶段的恶意有效载荷。

自 6 月以来,僵尸网络已升级为使用信用卡窃取模块感染潜在受害者,该模块将尝试获取存储在 Google Chrome 用户配置文件中的信用卡信息。

正如Cryptolaemus安全研究小组发现的那样,这一变化是在 4 月份活动增加并切换到 64 位模块之后发生的。

Emotet(就像QbotIcedID 一样)也已从使用 Microsoft Office 宏(现在默认禁用)作为感染目标设备的攻击媒介切换到 Windows 快捷方式文件 (.LNK)。

值得庆幸的是,Emotet 活动目前还不是很活跃,大多数恶意软件网络钓鱼活动都围绕 Qbot 和 IcedID 展开。

然而,这可能会迅速改变并导致勒索软件攻击的快速部署,因此 Emotet 仍然是恶意软件防御者必须注意的。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Emotet僵尸网络现在推送Quantum和BlackCat勒索软件