Emotet, троянец, распространяющийся в основном через спам по электронной почте, стал распространенной проблемой с момента своего первого появления в 2014 году. С помощью сети, состоящей из множества ботнетов, обозначаемых как "эпохи" командой исследователей безопасности Cryptolaemus, Emotet постоянно рассылает спам по электронной почте в рамках кампаний, направленных на заражение пользователей посредством фишинговых атак.
Emotet Botnet
После успешного запуска на конечной точке Emotet запускает другие вредоносные программы, такие как Qakbot, Cobalt Strike или, в некоторых случаях, даже печально известную Ryuk ransomware. Однако в июле 2022 года широко распространенная вредоносная программа как услуга (MaaS), похоже, ушла в тень и больше не проводила эти спам-кампании.
В течение следующих четырех месяцев Emotet хранил молчание. Затем, 2 ноября, группа Cryptolaemus обнаружила, что ее ботнеты, особенно известные как Epoch4 и Epoch5, снова начали рассылать спам по электронной почте. В этих фишинговых письмах использовались различные методы, чтобы заманить жертв сначала открыть их, а затем загрузить и выполнить файлы .xls с макросами, используемыми для загрузки дроппера Emotet. Без особого шума, как и в момент исчезновения, Emotet, похоже, вернулся и стал таким же вредоносным, как и раньше.
С момента своего появления Emotet продолжает постоянно развиваться, добавляя новые методы уклонения и повышая вероятность успешного заражения. Он также способен размещать множество модулей, каждый из которых используется для различных аспектов кражи информации и отчитывается перед своими командно-контрольными (C2) серверами. От мониторинга процессов до перехвата адресов электронной почты Microsoft® Outlook®, Emotet внедряет как собственные модули, так и легкодоступные свободно распространяемые инструменты, добавляя и настраивая их с годами с пугающей эффективностью. Совсем недавно Emotet добавил новый модуль Server Message Block (SMB) spreader, который используется в качестве эффективного метода для бокового перемещения после размещения на целевой машине.
SMB-распространитель начинает этот процесс с получения тех же привилегий безопасности, что и первоначальная учетная запись цели. После загрузки в систему жертвы этот модуль начинает выдавать себя за пользователя, дублируя токен его учетной записи через уровень SecurityImpersonation. Это дает процессу те же привилегии, что и текущему пользователю системы. С этими дублированными привилегиями распространитель вызывает функцию "ImpersonateLoggedOnUser" для выполнения действий в том же контексте безопасности учетной записи, которая в данный момент вошла в систему.
Отсюда модуль начинает перечислять сетевые ресурсы, используя WinAPIs WnetOpenEnumW и WnetEnumResourceW. Из этих ресурсов он сохраняет все потенциальные удаленные серверы в список. Затем, используя два дополнительных жестко закодированных списка (один из распространенных имен пользователей, другой - распространенных паролей), распространитель перебирает этот список имен серверов и начинает перебор IPC$ ресурсов с помощью WinAPI WNetAddConnection2W в надежде на успешное соединение.
Если соединение не установлено с имеющимися учетными данными, SMB-распространитель может также попытаться найти дополнительные имена пользователей на сервере с помощью NetUserEnum WinAPI. Все найденные потенциальные новые имена пользователей также будут перебраны с помощью жестко закодированного списка паролей для входа в ресурс IPC$.
Если соединение удалось, распространитель пытается подключиться к ресурсам ADMIN$ и C$. Оттуда он копирует загрузчик Emotet на указанный ресурс и запускает его как службу. Служба запускается с помощью regsvr32.exe, и боковое перемещение достигнуто.
Наряду с SMB-распространителем, еще один недавно добавленный модуль используется для атаки на браузер Google Chrome™ в надежде украсть сохраненную информацию о кредитной карте. Хотя в прошлом Emotet использовал и другие модули для выкапывания финансовой информации (например, модуль WebBrowser PassView компании NirSoft), компания Proofpoint обнаружила в начале июня 2022 года следующие расшифрованные строки, которые, похоже, нацелены именно на Chrome™.
Indicators of Compromise
URLs
- http://audioselec.com/about/dDw5ggtyMojggTqhc/
- http://chist.com/dir-/HH/
- http://coadymarine.com/Admin/ekamS7WWDkLwS44q/
- http://geringer-muehle.de/wp-admin/G/
- http://intolove.co.uk/wp-admin/FbGhiWtrEzrQ/
- http://isc.net.ua/themes/3rU/
- https://bayernbadabum.com/botpack.dat
- https://bikkviz.com/wp-admin/NyT44HkVg/
- https://blacksebo.de/sharedassets/fA/
SHA256
- 05a3a84096bcdc2a5cf87d07ede96aff7fd5037679f9585fee9a227c0d9cbf51
- 199a2e0e1bb46a5dd8eb3a58aa55de157f6005c65b70245e71cecec4905cc2c0
- 3d8f8f406a04a740b8abb1d92490afef2a9adcd9beecb13aecf91f53aac736b4
- bb444759e8d9a1a91a3b94e55da2aa489bb181348805185f9b26f4287a55df36
- ef2ce641a4e9f270eea626e8e4800b0b97b4a436c40e7af30aeb6f02566b809c
- f6485aef4be4cb0ec50317b7f87694fb775f81733af64c9bc6050f6806504207