首页 > 安全 > 正文

情绪测试在低音量运动中的新攻击链

最后更新 :2022.05.01

情感操作员正在测试Microsofts的新攻击技术,默认情况下将视觉基础(VBA)宏禁用。

臭名昭著的Emotet Botnet的操作员正在测试Microsofts的新攻击技术,以测试新的攻击技术默认情况下,移至禁用应用程序(VBA)宏的视觉基本。

威胁参与者在采用大量目标之前采用了新技术,然后在更大的scape malspam活动中采用它们。

证据研究人员指出,操作员正在与更有选择性的攻击进行测试,并同时测试新技术。

这项活动发生在情绪“春假”时,没有进行典型的大量威胁运动。读取ProofPoint发布的分析。此后,威胁行为者恢复了其典型活动。证明点评估威胁群体分发情感是可能的y在采用更广泛的运动或与广泛的运动并行部署它们之前,在小规模上测试新策略,技术和程序(TTP)。
Emotet botnet new technique

]

至少自2014年以来,情绪银行的Trojan 至少自2014年以来,botnet 由一个跟踪AS a as as as a a a a a a a a a a a a a a a a a a a a a542的威胁性演员运营。臭名昭著的银行特洛伊木马还用于提供其他恶意代码,例如trickbot  and nbsp; qbot  trojans,或勒索软件,例如conti of conti,  prolock  ryuk,  ryuk,  egregor。2021年11月中旬,来自多家网络安全公司([Cryptolaemus],[Gdata]和[Advanced Intel])的研究人员报告说,威胁参与者正在使用Trickbot恶意软件将情感装载机放在受感染设备上。专家跟踪了旨在使用Trickbot的基础架构作为“到达操作”进行重建的活动。

在12月,Emotet恶意软件被观察到DirectlY安装钴罢工 信标使攻击者可以访问目标网络。

来自Advintel  nbsp; nbsp;的研究人员认为,回报将对威胁景观的勒索软件运营产生重大影响,这可能是“最大的威胁”由于三个原因:

这些能力与当代网络犯罪市场的需求之间的相关性无与伦比的连续装载机的相关性是

Trickbot-emotet-Ransomware Triacy的回归,这是前两点。]情绪僵尸网络是由其前操作员复活的,他的前操作员被Conti Ransomware团伙说服了。情绪操作的关闭导致缺乏高质量的初始访问经纪人。

Qbot和Trickbot使用Emotet的服务来部署多个勒索软件菌株,包括  nbsp; doppelpelpelpaymer,  egregor  egregor drolock,  ryuk等)。

低量Proofpoint Leverages发现的Emotet广告系列被折衷的发送者帐户和电子邮件没有由Emotet垃圾邮件模块发送。该运动是在2022年4月4日至2022年4月19日之间观察到的。这些消息使用简单的单词作为薪金等主题。消息包括指向包含Microsoft Excel加载项(XLL)文件的ZIP文件的OneDrive URL。

zip Archives和XLL文件使用与电子邮件主题相同的诱饵,例如“ salary_new.zip。”。该特定的存档包含相同XLL文件的四个副本,其中包括“ salary_and_bonuses-04.01.2022.xll”。XLL文件执行时,掉落并运行Emotet,以利用Epoch 4僵尸网络。继续Analsys。

邮政编码中的Microsoft Excel加载项(XLL)文件的执行允许掉落并运行Emotet有效负载。

为了逃避检测,威胁参与者正在测试A不同的攻击链不同,这与典型的攻击链不使用宏观支持Microsoft ExcEL或WORD文档附件。

证明点发布的分析还包括妥协的指标(IOC)。

 请投票给安全事务作为最佳欧洲网络安全博客奖2022年的获奖者投票在“弱者最佳个人(非商业)安全博客和技术WHIZ最佳技术博客和其他选择。提名,请访问: https://docs.google.com/forms/d/d/e/1faipqlsfxxr tocimz9qm9iipumqic-iipumqic-iomqic-iomqic-iom-npqmosfznjxrbbqrbqryjgcryjgcryjgcoreft/1233333333]

- END -

看更多