Bir gelişme ile ilgili olarak, ünlü emotet malware şimdi doğrudan Kobalt Strike Beacons yükler, tehdit aktörlerine acil ağ erişimini sağlayan ve Ransomware saldırılarına yakındır.
Emotet, kötü amaçlı kelime veya Excel belgeleri içeren spam e-postalarla yayılan kötü amaçlı yazılım bulaşmasıdır. Bu belgeler, MACOTET Trojan'ı bir kurbanın bilgisayarında indirmek ve yüklemek için makroları kullanır; daha sonra e-postayı çalmak ve cihaza daha fazla kötü amaçlı yazılım dağıtmak için kullanılır.
Tarihsel olarak, emotet Trickbot veya Qbot Truvailerini enfekte olmuş cihazlara yüklerdi. Bu Truva atları sonunda kobalt grevini enfekte olmuş bir cihazda kullanırlar veya diğer kötü amaçlı davranışları gerçekleştirir.
Kobalt Strike, saldırganların uzak ağ gözetimini gerçekleştirmek veya daha fazla komut yürütmek için tehlikeye giren cihazlarda "işaretçileri" dağıtmalarını sağlayan meşru bir penetrasyon test araç setidir.
Bununla birlikte, kobalt grevi, ağ ihlallerinin bir parçası olarak çatlak versiyonları kullanan ve yaygın olarak Ransomware saldırılarında yaygın olarak kullanılan tehdit aktörleri arasında çok popülerdir.
Bugün, Duyurma Araştırma Grubu Cryptolaemus, emotet'in şimdi trickbot veya qbotun birincil kötü amaçlı yazılım yük taşımacılığını atladığını ve enfekte olmuş cihazlarda doğrudan Kobalt Strike Beacons'ı yüklediğini uyardı.
Uyarı, #emotet'in CS fenerlerini E5 botları üzerine bıraktığını onayladık ve 10: 00est / 15: 00utc olarak aşağıdaki gözlemledik. Aşağıdaki işaretçisi düşürüldü: https://t.co/imjdqtgqxv, Lartmana [.] Com. Bu bir aktif CS ekipleri sunucusudur. 1 / x
E-posta güvenliği firması ile BleepingComputer ile paylaşılan bir flaş uyarısı COFENSE, sınırlı sayıda emotet enfeksiyonunun Kobalt grevi kurduğunu açıkladı, uzak bir etki alanıyla iletişim kurmaya çalıştı ve daha sonra kaldırıldı.
"Bugün, bazı enfekte bilgisayarlar, COKALT grevini, popüler bir sömürü sonrası aracını yüklemek için bir komut aldı", "COFENSE Flash Uyarıyı uyardı.
"Emotet'in kendisi enfekte bir makine hakkında sınırlı miktarda bilgi toplar, ancak kobalt grevi, daha geniş bir ağ veya etki alanını değerlendirmek için potansiyel olarak fidye yazılımı gibi daha fazla enfeksiyon için uygun mağdurları aramak için kullanılabilir."
"Kobalt grev numunesi çalışırken, Lartmana [.] COM.
Bu, Emotet'in Trickbot veya QBot'un birincil yükünü yükledikten sonra taktiklerinde önemli bir değişikliktir, mağdurlar tipik olarak kobalt grevi yapılmadan önce enfeksiyonu tespit etmek için biraz zaman geçirmiştir.
Şimdi bu ilk kötü amaçlı yazılım yükleme yüklerinin atıldığı, tehdit aktörlerinin yanal olarak yayılması, veri çalması ve hızlı bir şekilde Ransomware'i hızlıca dağıtmak için bir ağa derhal erişimi olacaktır.
"Bu büyük bir anlaşma. Tipik olarak emotet, cobaltstrick'i düşürdü. Genellikle ilk enfeksiyon ve fidye yazılımı arasında bir ayın yaklaşık bir ay geçireceğiniz. "Güvenlik araştırmacısı Marcus Hutchins gelişimi hakkında tweetled.
Kobalt grevinin bu hızlı konuşlandırılması, tehlikeye giren ağlarda fidye yazılımı dağıtımını hızlandıracaktır. Bu, özellikle emotet operatörlerini Ocak ayında kanun yaptırımıyla kapattıktan sonra yeniden başlatmaya ikna eden Conti Ransomware çetesi için geçerlidir.
Cofense, bunun kendi ağ gözetimleri için emotet tarafından kullanılması durumunda, ya da Botnet ile ortak olan diğer kötü amaçlı yazılımlar için bir saldırı zincirinin bir parçası olduğunu söylüyor.
"Henüz, emotet operatörlerinin kendi kullanımları için veri toplamayı ya da diğer kötü amaçlı yazılım ailelerinden birine ait bir saldırı zincirinin bir parçası olup olmadığını bilmiyoruz. Hızlı çıkarma göz önüne alındığında, bir test olabilir, hatta istemeden bile. " - COFENSE.
Araştırmacılar bu yeni gelişimi yakından izleyecekler ve daha fazla bilgi mevcut hale geldikçe bu makaleyi güncelleyeceğiz.
Microsoft Defender, Emotet Yanlış Olumlu Pozitifleriyle Yöneticileri Korkuyor
Hacker'lar Gizli Tardigrade Kötü Amaçlı Yazılımlarla Bioman İmalatı Hedef
Kötü amaçlı yazılım şimdi yeni Windows Installer sıfır gününü sömürmeye çalışıyor
Conti Ransomware çetesi tarafından düzenlenen emotet botnet dönüşü orkestre
İşte dünya çapında posta kutularına isabet eden yeni emotet spam kampanyaları
Kaynak: Bleeping Computer