TA542, агент, распространяющий вредоносное ПО Emotet, снова вернулся после длительного перерыва в рассылке вредоносных писем. Он отсутствовал почти четыре месяца, последний раз его видели 13 июля 2022 года, а затем он вернулся 2 ноября 2022 года. Компания Proofpoint отследила методы доставки, региональные таргетинги и провела анализ вредоносной программы Emotet и полезной нагрузки загрузчика IcedID.
В целом, эта активность похожа на июльские кампании, и многие ранее замеченные тактики остались прежними, однако появились новые изменения и усовершенствования:
- Новые визуальные "заманухи" в виде вложений Excel
- Изменения в бинарном файле Emotet
- Загрузчик IcedID, сбрасываемый Emotet, представляет собой новую облегченную версию загрузчика.
- Сообщения о Bumblebee, сброшенном в дополнение к IcedID.
Теперь, когда они вернулись, email-кампании TA542 снова в числе лидеров по объему email-рассылок. Proofpoint ожидает, что этот агент будет продолжать развиваться, что может привести к увеличению объемов электронной почты, расширению географии распространения и появлению новых вариантов или методов присоединенных или связанных угроз. Кроме того, учитывая наблюдаемые изменения в бинарном файле Emotet, он, вероятно, также продолжит адаптироваться.
Indicators of Compromise
Domains
- Bayernbadabum.com
SHA256
- 05a3a84096bcdc2a5cf87d07ede96aff7fd5037679f9585fee9a227c0d9cbf51
- 99580385a4fef0ebba70134a3d0cb143ebe0946df148d84f9e43334ec506e301