Tác giả: Itay Bochner
Tóm tắt
Tên của Emotet đã xuất hiện trên các bản tin khá thường xuyên gần đây sau một thời gian dài nằm trong tầm ngắm, đặc biệt là trong bối cảnh các cuộc tấn công ransomware lan rộng và các chiến dịch lừa đảo nâng cao. Nó là một Trojan tiên tiến thường được phân phối bằng cách sử dụng các tệp đính kèm email và liên kết, một khi nhấp vào, sẽ khởi chạy tải trọng. Emotet đang hoạt động như một ống nhỏ giọt cho phần mềm độc hại khác.
Điều gì làm cho Emotet trở nên đặc biệt đến mức nó đã trở thành botnet lớn nhất được sử dụng bởi các tác nhân đe dọa?
Để hiểu rằng chúng ta sẽ bắt đầu lại từ đầu...
Giải thích về biểu tượng cảm xúc
Emotet lần đầu tiên được xác định vào năm 2014 khi khách hàng của các ngân hàng Đức và Áo bị ảnh hưởng bởi Trojan. Nó được phát triển như một Trojan đơn giản với khả năng đánh cắp thông tin nhạy cảm và riêng tư. Khi nó phát triển, nó đạt được nhiều chức năng hơn, chẳng hạn như gửi thư rác và dịch vụ phân phối phần mềm độc hại (Dropper), sau khi lây nhiễm PC, đã cài đặt phần mềm độc hại khác. Thông thường các chương trình sau đây bị bỏ:
- TrickBot - Một Trojan ngân hàng cố gắng truy cập vào dữ liệu đăng nhập của tài khoản ngân hàng.
- Ryuk : Một ransomware mã hóa dữ liệu và chặn người dùng máy tính truy cập dữ liệu này hoặc toàn bộ hệ thống.
Emotet lây lan với các tính năng giống như sâu thông qua các tệp đính kèm email lừa đảo hoặc các liên kết tải tệp đính kèm lừa đảo. Sau khi được mở, Emotet hoạt động để lây lan khắp mạng bằng cách đoán thông tin đăng nhập quản trị viên và sử dụng chúng để ghi từ xa vào các ổ đĩa dùng chung bằng giao thức chia sẻ tệp SMB, cung cấp cho kẻ tấn công khả năng di chuyển ngang qua mạng.
Theo US-CISA:
Emotet là một Trojan tiên tiến chủ yếu lây lan qua các tệp đính kèm và liên kết email lừa đảo, sau khi nhấp vào, sẽ khởi chạy tải trọng (Lừa đảo: Tệp đính kèm Spearphishing [T1566.001], Lừa đảo: Liên kết lừa đảo [T1566.002]). Phần mềm độc hại sau đó cố gắng sinh sôi nảy nở trong mạng bằng cách vũ phu buộc thông tin đăng nhập của người dùng và ghi vào ổ đĩa dùng chung (Brute Force: Đoán mật khẩu [T1110.001], Tài khoản hợp lệ: Tài khoản cục bộ [T1078.003], Dịch vụ từ xa: Chia sẻ quản trị viên SMB / Windows [T1021.002]).
Những điều trên nhấn mạnh lý do tại sao Emotet rất khó ngăn chặn, vì các kỹ thuật trốn tránh đặc biệt và các tính năng "giống như sâu" cho phép nó tự động lây lan ngang trong mạng.
Một tính năng quan trọng khác là Emotet sử dụng DLL mô-đun (Thư viện liên kết động) để liên tục phát triển và cập nhật các khả năng của nó.
Hoạt động gần đây
Đã có rất nhiều báo cáo cho thấy sự gia tăng lớn trong việc sử dụng Emotet
- Các cuộc tấn công được phát hiện bằng cách sử dụng Emotet Trojan đã tăng hơn 1200% từ quý 2 đến quý III năm nay, hỗ trợ sự gia tăng các chiến dịch ransomware, theo dữ liệu mới nhất từ HP Inc.
(https://www.infosecurity-magazine.com/news/ransomware-alert-as-emotet/) - Kể từ tháng 7 năm 2020, CISA đã chứng kiến sự gia tăng hoạt động liên quan đến các chỉ số liên quan đến Emotet. Trong thời gian đó, Hệ thống phát hiện xâm nhập EINSTEIN của CISA, bảo vệ các mạng chi nhánh liên bang, dân sự và hành pháp, đã phát hiện khoảng 16.000 cảnh báo liên quan đến hoạt động của Emotet.
(https://us-cert.cisa.gov/ncas/alerts/aa20-280a) - Microsoft, Ý và Hà Lan tháng trước đã cảnh báo về sự gia tăng đột biến trong hoạt động spam độc hại Emotet, diễn ra vài tuần sau khi Pháp, Nhật Bản và New Zealand đưa ra cảnh báo về Emotet.
(https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/) - Trong những tuần gần đây, chúng tôi đã thấy nhiều Emotet Malspam hơn đáng kể
(https://unit42.paloaltonetworks.com/emotet-thread-hijacking/)
Điều khá độc đáo trong hành vi của Emotet trong làn sóng mới này là sự thay đổi của các chiến dịch spam của Emotet, hiện cũng đang tận dụng các tệp ZIP được bảo vệ bằng mật khẩu thay vì tài liệu Office.
Ý tưởng là bằng cách sử dụng các tệp được bảo vệ bằng mật khẩu, các cổng bảo mật email không thể mở kho lưu trữ để quét nội dung của nó và sẽ không thấy dấu vết của phần mềm độc hại Emotet bên trong.
Palo Alto Networks cũng xuất bản một kỹ thuật mới được Emotet sử dụng có tên là Thread Hijacking. Đây là một kỹ thuật tấn công email sử dụng các tin nhắn hợp pháp bị đánh cắp từ các ứng dụng email của máy tính bị nhiễm. Malspam này giả mạo người dùng hợp pháp và mạo danh trả lời cho email bị đánh cắp. Chủ đề bị tấn công Malspam được gửi đến các địa chỉ từ thư gốc.
OPSWAT cung cấp các giải pháp phòng ngừa có thể bảo vệ tổ chức của bạn khỏi bị tấn công bằng Emotet. Các giải pháp của chúng tôi giúp các tổ chức ngăn Emotet xâm nhập vào mạng.
Email Gateway Security Ngăn chặn các cuộc tấn công lừa đảo
Secure Access giúp xác thực tuân thủ
MetaDefender Core với Deep CDR (Giải trừ và tái thiết nội dung) cung cấp khả năng bảo vệ an toàn khi tải tệp lên bằng cách sử dụng.
Để biết thêm thông tin, hãy liên hệ với chúng tôi ngay hôm nay.
