باتنت Emotet در حال آزمایش زنجیره حمله جدید
اخبار داغ فناوری اطلاعات و امنیت شبکه
پس از اینکه مایکروسافت ماکروهای VBA را به طور پیشفرض غیرفعال کرد، اپراتورهای باتنت Emotet (که با نام TA542 شناسایی میشوند) در حال آزمایش تکنیکهای حمله جدید مشاهده شدهاند. در حال حاضر، تکنیک جدید روی اهداف محدودی استفاده میشود که نشان میدهد این تکنیک ممکن است یک فرایند آزمایشی باشد.
زنجیره حمله جدید
محققان پروفپوینت نشان دادهاند که اپراتورها در حال آزمایش تکنیکهای جدید در حملات گزینش شدهتر، قبل از اینکه آنها را در حملات معمولی در مقیاس بزرگ malspam خود بکار گیرند، هستند.
این کمپین بین ۴ و ۱۹آوریل مشاهده شد. این فعالیت زمانی اتفاق افتاد که Emotet در تعطیلات بهاری بود و از کمپینهای تهدید با حجم بالا اجتناب میکرد.
کمپین اخیر از یک حساب فرستنده در معرض خطر استفاده میکند و ایمیلها توسط ماژول اسپم معمول Emotet ارسال نشدهاند.
جزییات بیشتر
موضوعات ایمیل شامل کلمات سادهای مانند "حقوق" و پیامها شامل URLهای OneDrive هستند که به فایلهای فشرده بارگذاری شده با فایلهای افزودنی اکسل اشاره دارند.
اجرای فایلهای افزودنی اکسل (XLL) در آرشیو ZIP امکان حذف و اجرای بارگذاری Emotet را از باتنت Epoch 4 را میدهد.
آزمایش زنجیرههای حمله مختلف به احتمال زیاد تلاشی برای فرار از تشخیص و پنهان ماندن است.
ظاهراً مهاجمان اکنون به تکنیکهای جدیدی علاقهمند هستند که به فایلهای دارای قابلیت ماکرو متکی نیستند.
نتیجهگیری
درست پس از اینکه مایکروسافت ماکروها را غیرفعال کرد، توسعهدهندگان Emotet راههای جدیدی برای غلبه بر آن ابداع کردهاند که نشاندهنده تلاشهای آنها برای ماندن در بالاترین سطح بازی است. علاوه بر این، یک حمله کم حجم و استفاده از OneDrive نشان میدهد که آنها در حال آزمایش بروزرسانیهای خود هستند و شاید برای اتفاق بزرگی در آینده نزدیک برنامهریزی میکنند.
برچسب ها: آرشیو, XLL, زنجیره حمله, TA542, Epoch 4, VBA, OneDrive, اسپم, باتنت, ZIP, Excel, کمپین, اکسل, Microsoft Excel, malspam, ماژول, emotet, cybersecurity, Microsoft, Spam, ایمیل, مایکروسافت, Botnet, امنیت سایبری, Cyber Attacks, حمله سایبری