Emotet Botnet IOCs - Part 16

botnet IOC

TA542, агент, распространяющий вредоносное ПО Emotet, снова вернулся после длительного перерыва в рассылке вредоносных писем. Он отсутствовал почти четыре месяца, последний раз его видели 13 июля 2022 года, а затем он вернулся 2 ноября 2022 года. Компания Proofpoint отследила методы доставки, региональные таргетинги и провела анализ вредоносной программы Emotet и полезной нагрузки загрузчика IcedID.


В целом, эта активность похожа на июльские кампании, и многие ранее замеченные тактики остались прежними, однако появились новые изменения и усовершенствования:

  • Новые визуальные "заманухи" в виде вложений Excel
  • Изменения в бинарном файле Emotet
  • Загрузчик IcedID, сбрасываемый Emotet, представляет собой новую облегченную версию загрузчика.
  • Сообщения о Bumblebee, сброшенном в дополнение к IcedID.

Теперь, когда они вернулись, email-кампании TA542 снова в числе лидеров по объему email-рассылок. Proofpoint ожидает, что этот агент будет продолжать развиваться, что может привести к увеличению объемов электронной почты, расширению географии распространения и появлению новых вариантов или методов присоединенных или связанных угроз. Кроме того, учитывая наблюдаемые изменения в бинарном файле Emotet, он, вероятно, также продолжит адаптироваться.

Indicators of Compromise

Domains

  • Bayernbadabum.com

SHA256

  • 05a3a84096bcdc2a5cf87d07ede96aff7fd5037679f9585fee9a227c0d9cbf51
  • 99580385a4fef0ebba70134a3d0cb143ebe0946df148d84f9e43334ec506e301
SEC-1275-1
Добавить комментарий