Tatiller için tam zamanında, ünlü emotet kötü amaçlı yazılımları bir kez daha hızlı siberattacks için Kobalt Strike Beacons yükleniyor.
Emotet'e aşina olmayanlar için, en yaygın kötü amaçlı yazılım enfeksiyonlarından biri olarak kabul edilir ve kötü amaçlı ekleri içeren kimlik avı e-postalarıyla dağıtılır.
Tarihsel olarak, bir cihaz enfekte olduktan sonra, emotet gelecekteki kampanyalarda kullanmak için bir kurbanın e-postasını çalacak ve ardından Trickbot ve QBot gibi kötü amaçlı yazılım yükler bırakacaktır.
Ancak, bu ayın başlarında, emotet, normal yükleri yerine enfekte cihazlarda kobalt grev fenerlerini yüklemeye başladı.
Kobalt Strike, tehdit aktörlerinin genellikle bir organizasyon aracılığıyla lateral olarak yayılmaları ve nihayetinde bir ağdaki fidye yazılımını dağıtmak için kullanılan meşru bir penting aracıdır.
Bu test kısa oldu ve tehdit aktörleri kısa sürede tipik yüklerini dağıtmaya geri döndü.
Geçen hafta, emotet tehdidi aktörleri kimlik avı kampanyalarını askıya aldı ve o zamandan beri araştırmacılar gruptan başka bir faaliyet görmediler.
"Spam, geçen hafta Perşembe günü durdu ve o zamandan beri, bugüne kadar olan her şeyin çok azıyla sessiz kaldılar." Joseph Cryptolaemus Emotet Grubu'nun roosp, BleepingBomputer'a söyledi.
Bununla birlikte, Cryptolaemus şimdi bugün başlamanın, tehdit aktörlerinin bir kez daha kobalt grev fenerlerini bir kez daha emotet tarafından enfekte olmuş cihazlara kurmaya başladı.
#Emotet e5 güncellemesi. Aşağıdaki C2 S: // Kolary [.] COM / JQuery-3.3.1.min.js ile son birkaç dakika itibariyle düştüğümüz CS fenerleri gözlemliyoruz. Filigran bir daha "0". Biri nihayet ayılıyor gibi görünüyor ve yeni botnet ile bir şeyler yapmaya karar verdi. 1 / x
Roosen BleepingComputer'a, EMOTET'in şimdi Kobalt vuruş modüllerini doğrudan komutundan ve kontrol sunucusundan indirdiğini ve ardından enfekte cihazda çalıştırdığını söyledi.
Kobalt Strike Beacons ile doğrudan emotet tarafından yüklenen, onları bir ağ aracılığıyla lateral olarak yaymak, dosyaları çalmak ve kötü amaçlı yazılım dağıtmak için kullanılan tehdit aktörleri ile, tehlikeye atılan ağlara anında erişebilir.
Bu erişim, saldırıların teslim edilmesini hızlandıracak ve tatillerden hemen önce olduğu ile, işletmelerin artıkları izlemek ve cevap vermek için sınırlı personel olduğu için sayısız ihlallere yol açabilir.
BleepingComputer ile paylaşılan Kobalt Strike Beacon örneğinde, kötü amaçlı yazılım, saldırganın komuta ve kontrol sunucuları ile sahte bir 'JQuery-3.3.1.min.js' dosyasıyla iletişim kuracak.
Kötü amaçlı yazılım her C2 ile iletişim kurduğunda, aşağıdaki resimdeki vurgulanan metinle gösterildiği gibi, her seferinde, her seferinde yeni talimatlarla değiştirilen jquery dosyasını indirmeye çalışacaktır.
Dosyanın çoğu meşru jQuery kaynak kodu olduğundan, yalnızca bazı içerikler değiştirilir, meşru trafiğe karışır ve güvenlik yazılımını atlamayı kolaylaştırır.
Kobalt grevinin emotet yoluyla hızlı konuşlandırılması, tüm pencerelerin ve ağ yöneticilerinin ve güvenlik profesyonellerinin radarlarında olması gereken önemli bir gelişmedir.
Bu artan işaretçilerin zaten enfekte olmuş cihazlara dağılmasıyla, tatillerde veya tatillerde hemen önce veya sonuçta fidye yazılım saldırısı göreceğimizden bekleniyor.
Emotet şimdi kobalt grevi düşer, hızlı ileri sürükler Ransomware saldırıları
Microsoft: Bunlar QBOT kötü amaçlı yazılım saldırılarının yapı taşlarıdır.
Trickbot, Conti Ransomware saldırıları için Shatak Phishers ile takımlar
Kötü Amaçlı Excel XLL Eklentileri İtmeli Redline Şifre Çalma Malware
Emotet şimdi sahte Adobe Windows uygulaması yükleyici paketleri ile yayılır
Kaynak: Bleeping Computer