Печально известная вредоносная программа Emotet теперь устанавливает маяки Cobalt Strike напрямую, обеспечивая немедленный доступ к сети злоумышленникам и делая атаки программ-вымогателей неизбежными.
Emotet - это вредоносное ПО, которое распространяется через спам-сообщения, содержащие вредоносные документы Word или Excel. В этих документах используются макросы для загрузки и установки троянца Emotet на компьютер жертвы, который затем используется для кражи электронной почты и развертывания дополнительных вредоносных программ на устройстве.
Исторически сложилось так, что Emotet устанавливал троянов TrickBot или Qbot на зараженные устройства. Эти трояны в конечном итоге развертывали Cobalt Strike на зараженном устройстве или выполняли другие вредоносные действия.
Cobalt Strike - это законный набор инструментов для тестирования на проникновение, который позволяет злоумышленникам устанавливать «маяки» на взломанных устройствах для удаленного наблюдения за сетью или выполнения дальнейших команд.
Тем не менее, Cobalt Strike очень популярен среди злоумышленников, которые используют взломанные версии как часть своих сетевых нарушений, и обычно используется в атаках программ-вымогателей.
Emotet меняет свою тактику
Сегодня исследовательская группа Emotet Cryptolaemus предупредила, что Emotet теперь пропускает свою основную вредоносную программу TrickBot или Qbot и напрямую устанавливает маячки Cobalt Strike на зараженные устройства.Флэш-оповещение, переданное BleepingComputer фирмой по обеспечению безопасности электронной почты Cofense, объясняет, что ограниченное количество заражений Emotet установили Cobalt Strike, попытались связаться с удаленным доменом, а затем были удалены.
«Сегодня некоторые зараженные компьютеры получили команду на установку Cobalt Strike, популярного инструмента после эксплуатации», - предупреждает Cofense Flash Alert.
«Сам Emotet собирает ограниченный объем информации о зараженной машине, но Cobalt Strike можно использовать для оценки более широкой сети или домена, потенциально ища подходящих жертв для дальнейшего заражения, такого как программы-вымогатели».
«Пока выполнялся образец Cobalt Strike, он пытался связаться с доменом lartmana [.] Com. Вскоре после этого Emotet удалил исполняемый файл Cobalt Strike».
Это существенное изменение в тактике, поскольку после того, как Emotet установил свою основную полезную нагрузку TrickBot или Qbot, жертвы обычно имели некоторое время, чтобы обнаружить инфекцию, прежде чем Cobalt Strike был развернут.
Теперь, когда эти начальные вредоносные программы пропущены, злоумышленники получат немедленный доступ к сети для горизонтального распространения, кражи данных и быстрого развертывания программ-вымогателей.
«Это большое дело. Обычно Emotet сбрасывает TrickBot или QakBot, которые, в свою очередь, сбрасывают CobaltStrike. У вас обычно есть около месяца между первым заражением и вымогательством. С Emotet, отбрасывающим CS напрямую, вероятно, будет гораздо более короткая задержка, "Исследователь безопасности Маркус Хатчинс написал в Твиттере о разработке.
Такое быстрое развертывание Cobalt Strike, вероятно, ускорит развертывание программ-вымогателей в скомпрометированных сетях. Это особенно верно для банды вымогателей Conti, которая убедила операторов Emotet перезапустить их после того, как в январе правоохранительные органы остановили их .
Cofense говорит, что неясно, является ли это тестом, используемым Emotet для наблюдения за собственной сетью, или частью цепочки атак для других семейств вредоносных программ, которые сотрудничают с ботнетом.
Перевод - Google
Bleeping Computer
Последнее редактирование модератором:
