Emotet僵尸网络在沉寂了五个月后又开始传播恶意软件

在消失近五个月后，臭名昭著的Emotet恶意软件团伙再次发送恶意电子邮件。

Emotet是一种恶意软件，通过包含恶意Excel或Word文档的钓鱼活动感染系统。一旦用户打开这些文档并启用宏，Emotet DLL将被下载并加载到系统内存中。

一旦加载，该恶意软件将搜索和窃取电子邮件以进行未来的垃圾邮件活动，并丢弃额外的攻击负载，如Cobalt Strike或其他通常会导致勒索软件攻击的恶意软件。

虽然Emotet曾经被认为是传播最广泛的恶意软件，但它在2022年6月13日突然停止发送垃圾邮件。

Emotet卷土重来

EMOTE的研究部门Cryptolaemus的研究人员报告称，美国东部时间11月2日凌晨4点左右，EMOTE团伙突然再次活跃起来，向世界各地的电子邮件地址发送垃圾邮件。

图1

Proofpoint的威胁研究员、Cryptolaemus的成员Tommy Madjar告诉IT安全外媒BleepingComputer，如今的Emotet电子邮件活动利用窃取的电子邮件回复链来分发恶意的Excel附件。

BleepingComputer从上传到VirusTotal的样本中看到了不同语言和文件名的附件，伪装成发票、扫描副本、电子表格和其他诱饵。

下面列出了示例文件名的一部分：

Scan_20220211_77219.xls

fattura年11月. xls

BFE-011122 XNIZ-021122.xls

FH-1612报告. xls

2022-11-02_1739.xls

Fattura 2022 - IT 00225.xls

RHU-011122 OOON-021122.xls

电子表格. xls

Rechnungs-Details.xls

Gmail_2022-02-11_1621.xls

gescanntes-doku ments 2022 . 02 . 11 _ 1028 . xls

Rechnungs-Details.xls

DETALLES-0211.xls

doku mente-vom-Notar 02 . 11 . 2022 . xls

INVOICE0000004678.xls

SCAN594_00088.xls

Copia Fattura.xls

Form.xls

表单-2022年11月2日. xls

新文件2022.11.02.xls

发票副本2022-11-02_1008，美国. xls

美国2011年2月22日付款. xls

今天的Emotet活动还采用了新的Excel附件模板，其中包含绕过微软受保护视图的指令。

2.恶意Emotet Excel文档(来源：BleepingComputer)

当从互联网上下载一个文件(包括作为电子邮件附件)时，微软将为该文件添加一个特殊的Web标记(MoTW)徽标。

当用户打开带有MoTW徽标的Microsoft Office文档时，Microsoft Office将在受保护的视图中打开它，以防止执行安装恶意软件的宏。

然而，在新的Emotet Excel附件中，可以看到威胁分子正在指示用户将文件复制到受信任的“模板”文件夹中，因为这样做可以绕过Microsoft Office的受保护视图，即使是带有MoTW徽标的文件。

需要重新启动根据您的安全策略的要求，要显示文档的内容，您需要将文件复制到以下文件夹并再次运行：

对于Microsoft Office 2013 x32和更早版本-C:\ Program Files \ Microsoft Office(x86)\ Templates

对于Microsoft Office 2013 x64和更早版本-C:\ Program Files \ Microsoft Office \ Templates

对于Microsoft Office 2016 x32及更高版本-C:\ Program Files(x86)\ Microsoft Office \ root \ Templates

'对于Microsoft Office 2016 x64及更高版本-C:\ Program Files \ Microsoft Office \ root \ Templates '

尽管Windows会警告用户将文件复制到“Templates”文件夹需要“管理员”权限，但用户试图复制文件的事实表明，他们很可能也会按下“继续”按钮。

图3。请求管理员权限(来源：BleepingComputer)

当附件从“Templates”文件夹启动时，会直接打开并立即执行下载了Emotet恶意软件的宏。

图4。绕过Microsoft Office受保护的视图(来源：BleepingComputer)

Emotet恶意软件以DLL的形式下载到%UserProfile%\AppData\Local下几个随机命名的文件夹中，如下图所示。

图5。Emotet存储在%LocalAppData%(来源：BleepingComputer)下的随机文件夹中

然后，宏将使用合法的regsvr32.exe命令启动DLL。

图6。贯穿Regsvr32.exe的Emotet DLL(来源：BleepingComputer)

一旦下载，恶意软件将在后台悄悄运行，同时连接到命令和控制服务器接收进一步的指令，或者安装额外的攻击载荷。

Madjar告诉BleepingComputer，今天的Emotet感染活动还没有开始在受感染的设备上加载额外的恶意软件。

然而，在过去，Emotet因安装恶意软件TrickBot和最近安装Cobalt Strike beacon而臭名昭著。

这些钴罢工信标，然后被勒索团伙用来获得初始访问。这些团伙在网络上横向扩散，窃取数据，最后加密设备。

Emotet感染过去曾被用于允许Ryuk和Conti勒索软件团伙最初进入企业网络。

自6月Conti倒闭以来，Emotet被认为与BlackCat和Quantum勒索软件团伙勾结，以获得受感染设备的初始访问权限。