סיכום קצר של מה שקרה עם Emotet מאז החזרה שלה בנובמבר 2021
Emotet היא משפחת תוכנות זדוניות הפעילה מאז 2014, המופעלת על ידי קבוצת פשעי סייבר הידועה בשם Mealybug או TA542. למרות שזה התחיל כטרויאני בנקאי, הוא התפתח מאוחר יותר לבוטנט שהפך לאחד האיומים הנפוצים ביותר בעולם. Emotet מתפשט באמצעות הודעות דואר זבל; הוא יכול לסנן מידע ממחשבים שנפגעו, ולספק תוכנות זדוניות של צד שלישי. מפעילי Emotet לא מאוד בררנים לגבי היעדים שלהם, מתקינים את התוכנה הזדונית שלהם במערכות השייכות ליחידים, כמו גם לחברות ולארגונים גדולים יותר.
בינואר 2021, אמוטט היה היעד של א מתפרק כתוצאה ממאמץ בינלאומי שיתופי של שמונה מדינות בתיאום על ידי יורוג'סט ויורופול. עם זאת, למרות המבצע הזה, Emotet חזר לחיים בנובמבר 2021.
- Emotet השיקה מסעות פרסום ספאם מרובים מאז שהוא הופיע מחדש לאחר הסרתו.
- מאז, Mealybug יצרה מספר מודולים חדשים ועודכן ושיפר את כל המודולים הקיימים מספר פעמים.
- לאחר מכן, מפעילי Emotet השקיעו מאמצים רבים כדי למנוע ניטור ומעקב אחר הבוטנט מאז חזרתו.
- נכון לעכשיו Emotet שקט ולא פעיל, ככל הנראה בגלל אי מציאת וקטור התקפה יעיל וחדש.
איור 1. ציר זמן של אירועי Emotet מעניינים מאז חזרתו
מסעות פרסום ספאם
לאחר הקאמבק ואחריו מסעות פרסום ספאם מרובים בסוף 2021, תחילת 2022 המשיכה עם מגמות אלו נרשמנו מסעות פרסום מרובים של ספאם שהושקו על ידי מפעילי Emotet. במהלך תקופה זו Emotet התפשטה בעיקר באמצעות מסמכי Microsoft Word ו-Microsoft Excel זדוניים עם פקודות מאקרו VBA משובצות.
ביולי 2022, מיקרוסופט שינתה את המשחק עבור כל משפחות התוכנות הזדוניות כמו Emotet ו-Qbot - שהשתמשו בדוא"ל דיוג עם מסמכים זדוניים כשיטת ההפצה - על ידי השבתת פקודות מאקרו VBA במסמכים שהתקבלו מהאינטרנט. השינוי הזה היה הודיע על ידי מיקרוסופט בתחילת השנה ונפרס במקור בתחילת אפריל, אך העדכון הוחזר עקב משוב משתמשים. ההשקה הסופית הגיעה בסוף יולי 2022, וכפי שניתן לראות באיור 2, העדכון הביא לירידה משמעותית בפשרות של Emotet; לא ראינו פעילות משמעותית במהלך קיץ 2022.
איור 2. מגמת זיהוי אמוטט, ממוצע נע של שבעה ימים
השבתת וקטור ההתקפה הראשי של Emotet גרמה למפעיליו לחפש דרכים חדשות להתפשר על המטרות שלהם. באג קמחי התחיל להתנסות עם קבצי LNK ו-XLL זדוניים, אבל כשהסתיימה שנת 2022, מפעילי Emotet התקשו למצוא וקטור התקפה חדש שיהיה יעיל כמו פקודות מאקרו VBA. בשנת 2023, הם ניהלו שלושה מסעות פרסום ייחודיים של ספאם, שכל אחד מהם בוחן שדרת חדירה שונה וטכניקת הנדסה חברתית. עם זאת, התכווצות ההתקפות והשינויים המתמידים בגישה עשויים לרמז על חוסר שביעות רצון מהתוצאות.
הראשון מבין שלושת הקמפיינים האלה התרחש בסביבות ה-8 במרץth, 2023, כאשר רשת הבוט Emotet החלה להפיץ מסמכי וורד, המסויים כחשבוניות, עם פקודות מאקרו VBA זדוניות מוטמעות. זה היה די מוזר מכיוון שפקודות מאקרו VBA הושבתו על ידי מיקרוסופט כברירת מחדל, כך שהקורבנות לא יכלו להפעיל קוד זדוני מוטבע.
בקמפיין השני שלהם בין ה-13 במרץth ו- 18 במרץth, התוקפים לכאורה הכירו בפגמים הללו, וחוץ משימוש בגישת שרשרת התשובות, הם גם עברו מפקודות מאקרו VBA לקבצי OneNote (ONE) עם VBScripts משובצים. אם הקורבנות פתחו את הקובץ, הם התקבלו על ידי מה שנראה כמו דף OneNote מוגן, וביקשו מהם ללחוץ על כפתור תצוגה כדי לראות את התוכן. מאחורי האלמנט הגרפי הזה היה VBScript מוסתר, שהוגדר להורדת ה-DLL של Emotet.
למרות אזהרת OneNote שפעולה זו עלולה להוביל לתוכן זדוני, אנשים נוטים ללחוץ על הנחיות דומות לפי ההרגל ובכך עלולים לאפשר לתוקפים לסכן את המכשירים שלהם.
הקמפיין האחרון שנצפה בטלמטריית ESET הושק ב-20 במרץth, תוך ניצול תאריך היעד הקרוב של מס הכנסה בארצות הברית. המיילים הזדוניים שנשלחו על ידי הבוטנט העמידו פנים שהם מגיעים ממשרד המס האמריקאי Internal Revenue Service (IRS) ונשאו קובץ ארכיון מצורף בשם W-9 form.zip. קובץ ה-ZIP הכלול הכיל מסמך Word עם מאקרו VBA זדוני מוטבע שהקורבן המיועד כנראה היה צריך לאפשר. מלבד מסע פרסום זה, המכוון במיוחד לארה"ב, צפינו גם במסע פרסום נוסף באמצעות VBScripts משובצים וגישת OneNote שהתנהל במקביל.
כפי שניתן לראות באיור 3, רוב ההתקפות שזוהו על ידי ESET כוונו ליפן (43%), איטליה (13%), אם כי מספרים אלו עשויים להיות מוטים על ידי בסיס המשתמשים החזק של ESET באזורים אלו. לאחר הסרת שתי המדינות המובילות הללו (כדי להתמקד בשאר העולם), באיור 4 ניתן לראות שגם שאר העולם נפגע, כאשר ספרד (5%) במקום השלישי ואחריה מקסיקו (5 %) ודרום אפריקה (4%).
איור 3. זיהוי אמוטט ינואר 2022 - יוני 2023
איור 4. זיהוי אמוטט ינואר 2022 - יוני 2023 (לא נכללו JP ו-IT)
הגנה משופרת וערפול
לאחר הופעתו מחדש, Emotet קיבל מספר שדרוגים. התכונה הבולטת הראשונה היא שהבוטנט החליף את ערכת ההצפנה שלה. לפני ההסרה, Emotet השתמשה ב-RSA כתכנית הא-סימטרית העיקרית שלהם ולאחר ההופעה המחודשת, הבוטנט התחיל להשתמש בקריפטוגרפיה אליפטית. נכון לעכשיו, כל מודול הורדה (נקרא גם מודול ראשי) מגיע עם שני מפתחות ציבוריים משובצים. האחד משמש לפרוטוקול החלפת מפתחות של Diffie Hellman עם עקומה אליפטית והשני משמש לאימות חתימה - אלגוריתם חתימה דיגיטלית.
מלבד עדכון תוכנות זדוניות של Emotet לארכיטקטורת 64 סיביות, Mealybug הטמיעה גם ערפול חדשות מרובות כדי להגן על המודולים שלהם. הערפול הבולט הראשון הוא שיטוח זרימת בקרה שיכול להאט משמעותית את הניתוח ואיתור חלקים מעניינים של קוד במודולים של Emotet.
Mealybug גם הטמיעה ושיפרה את היישום של טכניקות אקראיות רבות, שהבולטות שבהן הן האקראיות של סדר איברי המבנה והקצאה אקראית של הוראות המחשבות קבועים (הקבועים מכוסים).
עדכון נוסף שראוי להזכיר קרה ברבעון האחרון של 2022, כאשר מודולים החלו להשתמש בתורי טיימר. עם אלה, הפונקציה העיקרית של המודולים וחלק התקשורת של המודולים נקבעו כפונקציית התקשרות חוזרת, המופעלת על ידי שרשורים מרובים וכל זה משולב עם שיטוח זרימת הבקרה, כאשר ערך המצב שמנהל איזה גוש קוד הוא להפעלתו משותף בין השרשורים. ערפול זה מצטבר למכשול נוסף בניתוח ומקשה עוד יותר על המעקב אחר זרימת הביצוע.
מודולים חדשים
כדי להישאר תוכנות זדוניות רווחיות ונפוצות, Mealybug הטמיעה מספר מודולים חדשים, המוצגים בצהוב באיור 5. חלקם נוצרו כמנגנון הגנה עבור הבוטנט, אחרים להפצה יעילה יותר של התוכנה הזדונית, ואחרון חביב, מודול שגונב מידע שניתן להשתמש בו כדי לגנוב את כספו של הקורבן.
איור 5. המודולים הנפוצים ביותר של Emotet. אדום היה קיים לפני ההסרה; צהוב הופיע לאחר הקאמבק
Thunderbird Email Stealer ו-Thunderbird Contact Stealer
Emotet מופץ באמצעות הודעות דואר זבל ואנשים לרוב סומכים על הודעות דוא"ל אלה, מכיוון ש-Emotet משתמש בהצלחה בטכניקת חטיפת שרשורי אימייל. לפני ההסרה, Emotet השתמשה במודולים שאנו קוראים להם Outlook Contact Stealer ו- Outlook Email Stealer, שהיו מסוגלים לגנוב מיילים ופרטי איש קשר מ-Outlook. אבל מכיוון שלא כולם משתמשים באאוטלוק, לאחר ההסרה Emotet התמקדה גם באפליקציית אימייל חלופית חינמית - Thunderbird.
Emotet עשויה לפרוס מודול Thunderbird Email Stealer למחשב שנפגע, אשר (כפי שהשם מרמז) מסוגל לגנוב מיילים. המודול מחפש בקבצי Thunderbird המכילים הודעות שהתקבלו (בפורמט MBOX) וגונב נתונים ממספר שדות כולל שולח, נמענים, נושא, תאריך ותוכן ההודעה. כל המידע שנגנב נשלח לאחר מכן לשרת C&C לעיבוד נוסף.
יחד עם Thunderbird Email Stealer, Emotet פורסת גם Thunderbird Contact Stealer, שמסוגל לגנוב מידע ליצירת קשר מ-Thunderbird. מודול זה גם מחפש בקבצי Thunderbird, הפעם מחפש גם הודעות שהתקבלו וגם שנשלחו. ההבדל הוא שמודול זה רק מחלץ מידע מה- מ:, ל:, CC: ו עותק: שדות ויוצר גרף פנימי של מי תקשר עם מי, איפה צמתים הם אנשים, ויש יתרון בין שני אנשים אם הם מתקשרים זה עם זה. בשלב הבא, המודול מזמין את אנשי הקשר הגנובים - החל מהאנשים המחוברים ביותר - ושולח מידע זה לשרת C&C.
את כל המאמץ הזה משלימים שני מודולים נוספים (שהיו קיימים כבר לפני ההסרה) - מודול MailPassView Stealer ומודול דואר זבל. MailPassView Stealer משתמש לרעה בכלי NirSoft לגיטימי לשחזור סיסמאות וגונב אישורים מיישומי דואר אלקטרוני. כאשר מעובדים הודעות דוא"ל, אישורים ומידע על מי בקשר עם מי, Mealybug יוצרת הודעות דוא"ל זדוניות שנראות כמו תשובה לשיחות שנגנבו בעבר ושולחת את המיילים האלה יחד עם האישורים הגנובים למודול דואר זבל שמשתמש באישורים אלה כדי לשלוח תשובות זדוניות לשיחות דוא"ל קודמות באמצעות SMTP.
גנב כרטיסי אשראי של גוגל כרום
כפי שהשם מרמז, גניבת כרטיסי האשראי של Google Chrome גונבת מידע על כרטיסי אשראי המאוחסנים בדפדפן Google Chrome. כדי להשיג זאת, המודול משתמש בספריית SQLite3 מקושרת סטטית לגישה לקובץ מסד הנתונים של Web Data הממוקם בדרך כלל ב %LOCALAPPDATA%GoogleChromeUser DataDefaultWeb Data. המודול שואל את הטבלה כרטיסי אשראי ל שם_כרטיס, חודש תפוגה, שנת_תפוגה, ו מספר_כרטיס_מוצפן, המכיל מידע על כרטיסי אשראי שנשמרו בפרופיל ברירת המחדל של Google Chrome. בשלב האחרון, הערך card_number_encrypted מפוענח באמצעות המפתח המאוחסן ב- %LOCALAPPDATA%GoogleChromeUser DataLocal State קובץ וכל המידע נשלח לשרת C&C.
מודולי Systeminfo ו- Hardwareinfo
זמן קצר לאחר החזרה של Emotet, בנובמבר 2021 הופיע מודול חדש שאנו קוראים לו Systeminfo. מודול זה אוסף מידע על מערכת שנפרצה ושולח אותו לשרת C&C. המידע שנאסף מורכב מ:
- פלט של ה SystemInfo הפקודה
- פלט של ה ipconfig / all הפקודה
- פלט של ה הכי נמוך /dclist: פקודה (הוסרה באוקטובר 2022)
- רשימת תהליכים
- זמן פעילות (שהושג באמצעות גטיקונט) בשניות (הוסר באוקטובר 2022)
In אוקטובר 2022 המפעילים של Emotet פרסמו מודול חדש נוסף שאנו קוראים לו Hardwareinfo. למרות שהוא לא גונב מידע בלעדי על החומרה של מכונה שנפרצה, הוא משמש כמקור מידע משלים למודול Systeminfo. מודול זה אוסף את הנתונים הבאים מהמחשב שנפרץ:
- שם מחשב
- שם משתמש
- מידע על גרסת מערכת ההפעלה, כולל מספרי גרסאות ראשיות וקטנות
- מזהה הפעלה
- מחרוזת מותג CPU
- מידע על גודל RAM ושימוש
לשני המודולים יש מטרה עיקרית אחת - ודא אם התקשורת מגיעה מקורבן שנפגע באופן חוקי או לא. Emotet היה, במיוחד לאחר החזרה שלו, נושא חם מאוד בתעשיית אבטחת המחשבים ובקרב חוקרים, אז Mealybug עשה מאמצים רבים כדי להגן על עצמם מפני מעקב וניטור אחר הפעילויות שלהם. הודות למידע שנאסף על ידי שני המודולים הללו שלא רק אוספים נתונים, אלא מכילים גם טריקים נגד מעקב ואנטי ניתוח, היכולות של Mealybug להבדיל בין קורבנות אמיתיים מפעילויות חוקרי תוכנות זדוניות או ארגזי חול השתפרו משמעותית.
מה הלאה?
על פי מחקר וטלמטריה של ESET, שני התקופות של הבוטנט היו שקטים מאז תחילת אפריל 2023. נכון לעכשיו עדיין לא ברור אם זה עוד זמן חופשה עבור המחברים, אם הם מתקשים למצוא וקטור זיהום יעיל חדש, או אם יש מישהו חדש שמפעיל את הבוטנט.
למרות שאיננו יכולים לאשר את השמועות על כך שאחד ה-Epoches של הבוטנט או שניהם נמכרו למישהו בינואר 2023, הבחנו בפעילות יוצאת דופן באחד ה-Epoches. העדכון החדש ביותר של מודול ההורדה הכיל פונקציונליות חדשה, המתעדת את המצבים הפנימיים של המודול ועוקבת אחר ביצועו לקובץ C:JSmithLoader (איור 6, איור 7). מכיוון שהקובץ הזה צריך להיות קיים כדי להתחבר למשהו, הפונקציונליות הזו נראית כמו פלט ניפוי באגים עבור מישהו שלא לגמרי מבין מה המודול עושה ואיך הוא עובד. יתר על כן, באותה תקופה הבוטנט הפצה באופן נרחב גם מודולי דואר זבל, הנחשבים ליקרים יותר עבור Mealybug מכיוון שמבחינה היסטורית הם השתמשו במודולים אלו רק במכונות שנחשבו בעיניהם בטוחות.
איור 6. רישום התנהגות של מודול ההורדה
איור 7. רישום התנהגות של מודול ההורדה
לא משנה מה ההסבר למה הבוטנט שקט עכשיו נכון, Emotet ידועה ביעילותה והמפעילים שלה עשו מאמץ לבנות מחדש ולתחזק את הבוטנט ואפילו להוסיף כמה שיפורים, אז עקבו אחרי הבלוג שלנו כדי לראות מה יביא העתיד. לָנוּ.
ESET Research מציע דוחות מודיעין פרטיים של APT והזנות נתונים. לכל שאלה לגבי שירות זה, בקר באתר ESET Threat Intelligence עמוד.
IoCs
קבצים
| SHA-1 | שם הקובץ | שם זיהוי ESET | תיאור |
|---|---|---|---|
| D5FDE4A0DF9E416DE02AE51D07EFA8D7B99B11F2 | N / A | Win64/Emotet.AL | Emotet Systeminfo מודול. |
| 1B6CFE35EF42EB9C6E19BCBD5A3829458C856DBC | N / A | Win64/Emotet.AL | Emotet Hardwareinfo מודול. |
| D938849F4C9D7892CD1558C8EDA634DADFAD2F5A | N / A | Win64/Emotet.AO | Emotet Google Chrome מודול גניבת כרטיסי אשראי. |
| 1DF4561C73BD35E30B31EEE62554DD7157AA26F2 | N / A | Win64/Emotet.AL | מודול גניבת הדוא"ל של Emotet Thunderbird. |
| 05EEB597B3A0F0C7A9E2E24867A797DF053AD860 | N / A | Win64/Emotet.AL | Emotet Thunderbird Contact Stealer מודול. |
| 0CEB10940CE40D1C26FC117BC2D599C491657AEB | N / A | Win64/Emotet.AQ | מודול Emotet Downloader, גרסה עם ערפול תור טיימר. |
| 8852B81566E8331ED43AB3C5648F8D13012C8A3B | N / A | Win64/Emotet.AL | מודול Emotet Downloader, גרסת x64. |
| F2E79EC201160912AB48849A5B5558343000042E | N / A | Win64/Emotet.AQ | מודול Emotet Downloader, גרסה עם מחרוזות ניפוי באגים. |
| CECC5BBA6193D744837E689E68BC25C43EDA7235 | N / A | Win32/Emotet.DG | מודול Emotet Downloader, גרסת x86. |
רשת
| IP | תְחוּם | ספק אירוח | נראה לראשונה | פרטים |
|---|---|---|---|---|
| 1.234.2[.]232 | N / A | SK Broadband Co Ltd | N / A | N / A |
| 1.234.21[.]73 | N / A | SK Broadband Co Ltd | N / A | N / A |
| 5.9.116[.]246 | N / A | Hetzner Online GmbH | N / A | N / A |
| 5.135.159[.]50 | N / A | OVH SAS | N / A | N / A |
| 27.254.65[.]114 | N / A | CS LOXINFO חברה ציבורית בע"מ. | N / A | N / A |
| 37.44.244[.]177 | N / A | Hostinger International Limited | N / A | N / A |
| 37.59.209[.]141 | N / A | Abuse-C תפקיד | N / A | N / A |
| 37.187.115[.]122 | N / A | OVH SAS | N / A | N / A |
| 45.71.195[.]104 | N / A | NET ALTERNATIVA PROVEDOR DE INTERNET LTDA – ME | N / A | N / A |
| 45.79.80[.]198 | N / A | Linode | N / A | N / A |
| 45.118.115[.]99 | N / A | אספ במבנג גונוואן | N / A | N / A |
| 45.176.232[.]124 | N / A | CABLE Y TELECOMUNICACIONES DE COLOMBIA SAS (CABLETELCO) | N / A | N / A |
| 45.235.8[.]30 | N / A | WIKINET TELECOMUNICAÇÕES | N / A | N / A |
| 46.55.222[.]11 | N / A | DCC | N / A | N / A |
| 51.91.76[.]89 | N / A | OVH SAS | N / A | N / A |
| 51.161.73[.]194 | N / A | OVH SAS | N / A | N / A |
| 51.254.140[.]238 | N / A | Abuse-C תפקיד | N / A | N / A |
| 54.37.106[.]167 | N / A | OVH SAS | N / A | N / A |
| 54.37.228[.]122 | N / A | OVH SAS | N / A | N / A |
| 54.38.242[.]185 | N / A | OVH SAS | N / A | N / A |
| 59.148.253[.]194 | N / A | CTINETS HOSTMASTER | N / A | N / A |
| 61.7.231[.]226 | N / A | רשת IP CAT Telecom | N / A | N / A |
| 61.7.231[.]229 | N / A | רשות התקשורת של תאילנד, CAT | N / A | N / A |
| 62.171.178[.]147 | N / A | Contabo GmbH | N / A | N / A |
| 66.42.57[.]149 | N / A | The Constant Company, LLC | N / A | N / A |
| 66.228.32[.]31 | N / A | Linode | N / A | N / A |
| 68.183.93[.]250 | N / A | DigitalOcean, LLC | N / A | N / A |
| 72.15.201[.]15 | N / A | Flexential Colorado Corp. | N / A | N / A |
| 78.46.73[.]125 | N / A | Hetzner Online GmbH – תפקיד יצירת קשר, ORG-HOA1-RIPE | N / A | N / A |
| 78.47.204[.]80 | N / A | Hetzner Online GmbH | N / A | N / A |
| 79.137.35[.]198 | N / A | OVH SAS | N / A | N / A |
| 82.165.152[.]127 | N / A | 1 & 1 IONOS SE | N / A | N / A |
| 82.223.21[.]224 | N / A | IONOS SE | N / A | N / A |
| 85.214.67[.]203 | N / A | Strato AG | N / A | N / A |
| 87.106.97[.]83 | N / A | IONOS SE | N / A | N / A |
| 91.121.146[.]47 | N / A | OVH SAS | N / A | N / A |
| 91.207.28[.]33 | N / A | אופטימה טלקום בע"מ | N / A | N / A |
| 93.104.209[.]107 | N / A | MNET | N / A | N / A |
| 94.23.45[.]86 | N / A | OVH SAS | N / A | N / A |
| 95.217.221[.]146 | N / A | Hetzner Online GmbH | N / A | N / A |
| 101.50.0[.]91 | N / A | PT. Beon Intermedia | N / A | N / A |
| 103.41.204[.]169 | N / A | PT Infinys System אינדונזיה | N / A | N / A |
| 103.43.75[.]120 | N / A | מנהל Choopa LLC | N / A | N / A |
| 103.63.109[.]9 | N / A | Nguyen Nhu Thanh | N / A | N / A |
| 103.70.28[.]102 | N / A | Nguyen Thi Oanh | N / A | N / A |
| 103.75.201[.]2 | N / A | IRT-CDNPLUSCOLTD-TH | N / A | N / A |
| 103.132.242[.]26 | N / A | הרשת של אישאן | N / A | N / A |
| 104.131.62[.]48 | N / A | DigitalOcean, LLC | N / A | N / A |
| 104.168.155[.]143 | N / A | Hostwinds LLC. | N / A | N / A |
| 104.248.155[.]133 | N / A | DigitalOcean, LLC | N / A | N / A |
| 107.170.39[.]149 | N / A | DigitalOcean, LLC | N / A | N / A |
| 110.232.117[.]186 | N / A | RackCorp | N / A | N / A |
| 115.68.227[.]76 | N / A | SMILESERV | N / A | N / A |
| 116.124.128[.]206 | N / A | IRT-KRNIC-KR | N / A | N / A |
| 116.125.120[.]88 | N / A | IRT-KRNIC-KR | N / A | N / A |
| 118.98.72[.]86 | N / A | PT Telkom Indonesia APNIC משאבים ניהול | N / A | N / A |
| 119.59.103[.]152 | N / A | 453 Ladplacout Jorakhaebua | N / A | N / A |
| 119.193.124[.]41 | N / A | מנהל IP | N / A | N / A |
| 128.199.24[.]148 | N / A | DigitalOcean, LLC | N / A | N / A |
| 128.199.93[.]156 | N / A | DigitalOcean, LLC | N / A | N / A |
| 128.199.192[.]135 | N / A | DigitalOcean, LLC | N / A | N / A |
| 129.232.188[.]93 | N / A | Xneelo (Pty) Ltd | N / A | N / A |
| 131.100.24[.]231 | N / A | EVEO SA | N / A | N / A |
| 134.122.66[.]193 | N / A | DigitalOcean, LLC | N / A | N / A |
| 139.59.56[.]73 | N / A | DigitalOcean, LLC | N / A | N / A |
| 139.59.126[.]41 | N / A | מנהל Digital Ocean Inc | N / A | N / A |
| 139.196.72[.]155 | N / A | Hangzhou Alibaba Advertising Co., Ltd. | N / A | N / A |
| 142.93.76[.]76 | N / A | DigitalOcean, LLC | N / A | N / A |
| 146.59.151[.]250 | N / A | OVH SAS | N / A | N / A |
| 146.59.226[.]45 | N / A | OVH SAS | N / A | N / A |
| 147.139.166[.]154 | N / A | Alibaba (US) Technology Co., Ltd. | N / A | N / A |
| 149.56.131[.]28 | N / A | OVH SAS | N / A | N / A |
| 150.95.66[.]124 | N / A | מנהל GMO Internet Inc | N / A | N / A |
| 151.106.112[.]196 | N / A | Hostinger International Limited | N / A | N / A |
| 153.92.5[.]27 | N / A | Hostinger International Limited | N / A | N / A |
| 153.126.146[.]25 | N / A | IRT-JPNIC-JP | N / A | N / A |
| 159.65.3[.]147 | N / A | DigitalOcean, LLC | N / A | N / A |
| 159.65.88[.]10 | N / A | DigitalOcean, LLC | N / A | N / A |
| 159.65.140[.]115 | N / A | DigitalOcean, LLC | N / A | N / A |
| 159.69.237[.]188 | N / A | Hetzner Online GmbH – תפקיד יצירת קשר, ORG-HOA1-RIPE | N / A | N / A |
| 159.89.202[.]34 | N / A | DigitalOcean, LLC | N / A | N / A |
| 160.16.142[.]56 | N / A | IRT-JPNIC-JP | N / A | N / A |
| 162.243.103[.]246 | N / A | DigitalOcean, LLC | N / A | N / A |
| 163.44.196[.]120 | N / A | GMO-Z com NetDesign Holdings Co., Ltd. | N / A | N / A |
| 164.68.99[.]3 | N / A | Contabo GmbH | N / A | N / A |
| 164.90.222[.]65 | N / A | DigitalOcean, LLC | N / A | N / A |
| 165.22.230[.]183 | N / A | DigitalOcean, LLC | N / A | N / A |
| 165.22.246[.]219 | N / A | DigitalOcean, LLC | N / A | N / A |
| 165.227.153[.]100 | N / A | DigitalOcean, LLC | N / A | N / A |
| 165.227.166[.]238 | N / A | DigitalOcean, LLC | N / A | N / A |
| 165.227.211[.]222 | N / A | DigitalOcean, LLC | N / A | N / A |
| 167.172.199[.]165 | N / A | DigitalOcean, LLC | N / A | N / A |
| 167.172.248[.]70 | N / A | DigitalOcean, LLC | N / A | N / A |
| 167.172.253[.]162 | N / A | DigitalOcean, LLC | N / A | N / A |
| 168.197.250[.]14 | N / A | עומר אנסלמו ריפול (TDC NET) | N / A | N / A |
| 169.57.156[.]166 | N / A | SoftLayer | N / A | N / A |
| 172.104.251[.]154 | N / A | אקמאי מחובר ענן | N / A | N / A |
| 172.105.226[.]75 | N / A | אקמאי מחובר ענן | N / A | N / A |
| 173.212.193[.]249 | N / A | Contabo GmbH | N / A | N / A |
| 182.162.143[.]56 | N / A | IRT-KRNIC-KR | N / A | N / A |
| 183.111.227[.]137 | N / A | קוריאה טלקום | N / A | N / A |
| 185.4.135[.]165 | N / A | ENARTIA Single Member SA | N / A | N / A |
| 185.148.168[.]15 | N / A | Abuse-C תפקיד | N / A | N / A |
| 185.148.168[.]220 | N / A | Abuse-C תפקיד | N / A | N / A |
| 185.168.130[.]138 | N / A | GigaCloud NOC | N / A | N / A |
| 185.184.25[.]78 | N / A | MUV Bilisim ve Telekomunikasyon Hizmetleri Ltd. Sti. | N / A | N / A |
| 185.244.166[.]137 | N / A | Jan Philipp Waldecker נסחר בתור LUMASERV Systems | N / A | N / A |
| 186.194.240[.]217 | N / A | SEMPER TELECOMUNICACOES LTDA | N / A | N / A |
| 187.63.160[.]88 | N / A | BITCOM PROVEDOR DE SERVICOS DE INTERNET LTDA | N / A | N / A |
| 188.44.20[.]25 | N / A | חברה לשירותי תקשורת A1 Makedonija DOOEL Skopje | N / A | N / A |
| 190.90.233[.]66 | N / A | INTERNEXA Brasil Operadora de Telecomunicações SA | N / A | N / A |
| 191.252.103[.]16 | N / A | Locaweb Serviços de Internet S/A | N / A | N / A |
| 194.9.172[.]107 | N / A | Abuse-C תפקיד | N / A | N / A |
| 195.77.239[.]39 | N / A | TELEFONICA DE ESPANA SAU | N / A | N / A |
| 195.154.146[.]35 | N / A | Scaleway Abuse, ORG-ONLI1-RIPE | N / A | N / A |
| 196.218.30[.]83 | N / A | תפקיד TE Data Contact | N / A | N / A |
| 197.242.150[.]244 | N / A | Afrihost (Pty) Ltd | N / A | N / A |
| 198.199.65[.]189 | N / A | DigitalOcean, LLC | N / A | N / A |
| 198.199.98[.]78 | N / A | DigitalOcean, LLC | N / A | N / A |
| 201.94.166[.]162 | N / A | Claro NXT Telecomunicacoes Ltda | N / A | N / A |
| 202.129.205[.]3 | N / A | NIPA TECHNOLOGY CO., LTD | N / A | N / A |
| 203.114.109[.]124 | N / A | IRT-TOT-TH | N / A | N / A |
| 203.153.216[.]46 | N / A | איסוודי איסוודי | N / A | N / A |
| 206.189.28[.]199 | N / A | DigitalOcean, LLC | N / A | N / A |
| 207.148.81[.]119 | N / A | The Constant Company, LLC | N / A | N / A |
| 207.180.241[.]186 | N / A | Contabo GmbH | N / A | N / A |
| 209.97.163[.]214 | N / A | DigitalOcean, LLC | N / A | N / A |
| 209.126.98[.]206 | N / A | GoDaddy.com, LLC | N / A | N / A |
| 210.57.209[.]142 | N / A | אנדרי טמטריאנטו | N / A | N / A |
| 212.24.98[.]99 | N / A | Interneto vizija | N / A | N / A |
| 213.239.212[.]5 | N / A | Hetzner Online GmbH | N / A | N / A |
| 213.241.20[.]155 | N / A | Netia Telekom SA תפקיד קשר | N / A | N / A |
| 217.182.143[.]207 | N / A | OVH SAS | N / A | N / A |
טכניקות MITER ATT & CK
שולחן זה נבנה באמצעות גרסה 12 של הטכניקות הארגוניות MITER ATT&CK.
| טקטיקה | ID | שם | תיאור |
|---|---|---|---|
| סִיוּר | T1592.001 | אסוף מידע מארח הקורבן: חומרה | Emotet אוסף מידע על החומרה של המכונה שנפרצה, כגון מחרוזת מותג CPU. |
| T1592.004 | אסוף מידע מארח קורבן: תצורות לקוח | Emotet אוספת מידע על תצורת המערכת כגון ipconfig / all ו SystemInfo פקודות. | |
| T1592.002 | אסוף מידע מארח הקורבן: תוכנה | Emotet מסנן רשימה של תהליכים רצים. | |
| T1589.001 | אסוף מידע על זהות הקורבן: אישורים | Emotet פורס מודולים המסוגלים לגנוב אישורים מדפדפנים ויישומי דואר אלקטרוני. | |
| T1589.002 | אסוף מידע על זהות הקורבן: כתובות דואר אלקטרוני | Emotet פורס מודולים שיכולים לחלץ כתובות דוא"ל מיישומי דוא"ל. | |
| פיתוח משאבים | T1586.002 | חשבונות פשרה: חשבונות דואר אלקטרוני | Emotet מתפשרת על חשבונות אימייל ומשתמשת בהם להפצת דואר זבל. |
| T1584.005 | התפשרות על תשתית: Botnet | Emotet מתפשר על מספר רב של מערכות צד שלישי כדי ליצור רשת בוט. | |
| T1587.001 | פיתוח יכולות: תוכנות זדוניות | Emotet מורכב ממספר מודולים ורכיבים ייחודיים של תוכנות זדוניות. | |
| T1588.002 | להשיג יכולות: כלי | Emotet משתמש בכלים של NirSoft כדי לגנוב אישורים ממכונות נגועות. | |
| גישה ראשונית | T1566 | דיוג | Emotet שולח הודעות דיוג עם קבצים מצורפים זדוניים. |
| T1566.001 | פישינג: קובץ מצורף של Spearphishing | Emotet שולח הודעות דואר אלקטרוני עם קבצים מצורפים זדוניים. | |
| הוצאה לפועל | T1059.005 | מתורגמן פקודות וסקריפטים: Visual Basic | Emotet נראתה משתמשת במסמכי Microsoft Word המכילים פקודות מאקרו VBA זדוניות. |
| T1204.002 | ביצוע משתמש: קובץ זדוני | Emotet הסתמכה על משתמשים שיפתחו קבצים מצורפים לאימייל זדוניים ויבצעו סקריפטים משובצים. | |
| התחמקות הגנה | T1140 | בטל/פענח קבצים או מידע | מודולי Emotet משתמשים במחרוזות מוצפנות ובסכומי ביקורת מוסווים של שמות פונקציות API. |
| T1027.002 | קבצים או מידע מעורפלים: אריזת תוכנה | Emotet משתמש במארזים מותאמים אישית כדי להגן על המטענים שלהם. | |
| T1027.007 | קבצים או מידע מעורפלים: רזולוציית API דינמית | Emotet פותר קריאות API בזמן ריצה. | |
| גישה לאישור | T1555.003 | אישורים מחנויות סיסמאות: אישורים מדפדפני אינטרנט | Emotet רוכש אישורים שנשמרו בדפדפני אינטרנט על ידי שימוש לרעה באפליקציית WebBrowserPassView של NirSoft. |
| T1555 | אישורים מחנויות סיסמאות | Emotet מסוגלת לגנוב סיסמאות מיישומי דואר אלקטרוני על ידי שימוש לרעה באפליקציית MailPassView של NirSoft. | |
| אוספים | T1114.001 | איסוף דוא"ל: איסוף דוא"ל מקומי | Emotet גונב מיילים מיישומי Outlook ו-Thunderbird. |
| פיקוד ובקרה | T1071.003 | פרוטוקול שכבת יישומים: פרוטוקולי דואר | Emotet יכול לשלוח מיילים זדוניים באמצעות SMTP. |
| T1573.002 | ערוץ מוצפן: קריפטוגרפיה אסימטרית | Emotet משתמש במפתחות ECDH כדי להצפין תעבורת C&C. | |
| T1573.001 | ערוץ מוצפן: קריפטוגרפיה סימטרית | Emotet משתמש ב-AES כדי להצפין תעבורת C&C. | |
| T1571 | נמל לא סטנדרטי | ידוע כי Emotet מתקשר ביציאות לא סטנדרטיות כגון 7080. |
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet/
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 1
- 100
- 15%
- 16
- 180
- 19
- 20
- 2000
- 2014
- 2021
- 2022
- 2023
- 214
- 22
- 23
- 24
- 32
- 33
- 46
- 50
- 65
- 7
- 70
- 75
- 77
- 9
- 90
- 91
- 98
- a
- יכול
- אודות
- התעללות
- שימוש לרעה
- גישה
- חשבונות
- להשיג
- הודה
- רוכש
- פעולה
- פעיל
- פעילויות
- פעילות
- למעשה
- להוסיף
- נוסף
- כתובות
- מוסיף
- יתרון
- פרסום
- AES
- אפריקה
- לאחר
- מכוון
- אַלגוֹרִיתְם
- Alibaba
- תעשיות
- להתיר
- כְּבָר
- גם
- חלופה
- למרות
- בין
- an
- אנליזה
- ו
- אחר
- כל
- בנפרד
- API
- נראה
- בקשה
- יישומים
- גישה
- אַפּרִיל
- APT
- ארכיטקטורה
- ארכיון
- ARE
- סביב
- AS
- At
- מְצוֹרָף
- לתקוף
- המתקפות
- מחברים
- שדרה
- הימנעות
- בחזרה
- בנקאות
- בסיס
- BE
- הפך
- כי
- היה
- לפני
- ההתחלה
- מאחור
- בֵּין
- מְשׁוּחָד
- גדול
- לחסום
- בלוג
- שניהם
- בוטנט
- מותג
- להביא
- פס רחב
- דפדפן
- דפדפנים
- נבנה
- אבל
- לַחְצָן
- by
- לחשב
- שיחה
- נקרא
- שיחות
- הגיע
- מבצע
- קמפיינים
- CAN
- לא יכול
- יכולות
- מסוגל
- כרטיס
- כרטיסים
- נשא
- חָתוּל
- שרשרת
- שינוי
- השתנה
- שינויים
- ערוץ
- Chrome
- דפדפן כרום
- קליק
- לקוחות
- CO
- קוד
- שיתוף פעולה
- לגבות
- אוסף
- אוסף
- קולומביה
- קולורדו
- COM
- משולב
- איך
- הקאמבק
- מגיע
- להעביר
- תקשורת
- תקשורת
- חברות
- חברה
- משלימה
- לחלוטין
- רכיבים
- פשרה
- התפשר
- המחשב
- אבטחת מחשב
- מחשבים
- תְצוּרָה
- לאשר
- מחובר
- נחשב
- מורכב
- קבוע
- צור קשר
- אנשי קשר
- הכלול
- תוכן
- תוכן
- נמשך
- לִשְׁלוֹט
- שיחות
- מתואם
- גוף
- מדינות
- CPU
- נוצר
- יוצר
- אישורים
- אשראי
- כרטיס אשראי
- כרטיסי אשראי
- קריפטוגרפי
- קריפטוגרפיה
- כיום
- זונה
- מנהג
- פשעי אינטרנט
- נתונים
- מסד נתונים
- תַאֲרִיך
- de
- בְּרִירַת מֶחדָל
- הגנתי
- למסור
- לפרוס
- פרס
- פורס
- למרות
- זוהה
- איתור
- התקנים
- DID
- הבדל
- אחר
- קשה
- דיגיטלי
- נכה
- ייחודי
- הפצה
- מסמך
- מסמכים
- עושה
- לא
- מטה
- להורדה
- ירידה
- ראוי
- בְּמַהֲלָך
- דינמי
- כל אחד
- מוקדם
- אדג '
- אפקטיבי
- יְעִילוּת
- יעיל
- מאמץ
- שמונה
- אלמנט
- אליפטי
- אמייל
- מיילים
- מוטבע
- מוצפן
- סוף
- הנדסה
- מִפְעָל
- תקופות
- מחקר ESET
- במיוחד
- יורופול
- אֲפִילוּ
- אירועים
- כל
- כולם
- התפתח
- Excel
- חליפין
- נשלל
- אך ורק
- מבצע
- הוצאת להורג
- קיים
- קיימים
- הסבר
- תמצית
- תמציות
- אי
- משפחות
- משפחה
- מאפיין
- מָשׁוֹב
- שדות
- תרשים
- שלח
- קבצים
- סופי
- ראשון
- פגמים
- תזרים
- להתמקד
- מרוכז
- בעקבות
- הבא
- בעד
- טופס
- פוּרמָט
- חופשי
- בתדירות גבוהה
- החל מ-
- פונקציה
- פונקציונלי
- נוסף
- יתר על כן
- עתיד
- מִשְׂחָק
- GmBH
- Google Chrome
- גרף
- גדול
- בירך
- קְבוּצָה
- היה
- קרה
- חומרה
- יש
- מוּסתָר
- הסטורי
- מכה
- אחזקות
- המארח
- חַם
- איך
- אולם
- HTTPS
- זהות
- if
- הפעלה
- יושם
- משופר
- שיפורים
- in
- פעיל
- כלול
- כולל
- הַכנָסָה
- מס הכנסה
- אנשים
- אינדונזיה
- תעשייה
- זיהום
- מידע
- תשתית
- פניות
- התקנה
- הוראות
- מוֹדִיעִין
- התכוון
- מקושרים
- מעניין
- פנימי
- מס הכנסה
- ברמה בינלאומית
- אינטרנט
- אל תוך
- הופעל
- מס הכנסה
- IT
- איטליה
- שֶׁלָה
- יאן
- יָנוּאָר
- ינואר 2021
- יפן
- יולי
- רק
- שמור
- מפתח
- מפתחות
- ידוע
- אחרון
- מאוחר יותר
- הושק
- שכבה
- עוֹפֶרֶת
- הכי פחות
- לגיטימי
- סִפְרִיָה
- החיים
- כמו
- מוגבל
- צמוד
- רשימה
- LLC
- מקומי
- ממוקם
- היכנס
- רישום
- נראה
- נראה כמו
- נראה
- הסתכלות
- נראה
- מגרש
- בע"מ
- מכונה
- מכונה
- מאקרו
- פקודות מאקרו
- עשוי
- ראשי
- בעיקר
- לתחזק
- גדול
- עושה
- תוכנות זדוניות
- מצליח
- רב
- צעדה
- max-width
- מאי..
- מנגנון
- חבר
- להרשם/להתחבר
- הודעה
- הודעות
- שיטה
- MEXICO
- מיקרוסופט
- Microsoft Excel
- Microsoft Word
- יכול
- קטין
- מודול
- מודולים
- כסף
- ניטור
- יותר
- יותר יעיל
- רוב
- נע
- מספר
- שם
- שם
- שמות
- נטו
- חדש
- החדש ביותר
- הבא
- צמתים
- יַקִיר
- נוֹבֶמבֶּר
- נובמבר 2021
- עַכשָׁיו
- מספרים
- רב
- NXT
- להתבונן
- שנצפה
- מכשול
- מושג
- ים
- אוקטובר
- of
- המיוחדות שלנו
- Office
- לעתים קרובות
- on
- ONE
- באינטרנט
- רק
- נפתח
- פתיחה
- מופעל
- פועל
- מבצע
- מפעילי
- or
- להזמין
- הזמנות
- ארגונים
- בְּמָקוֹר
- אחר
- אחרים
- שלנו
- תוצאות
- Outlook
- תפוקה
- עמוד
- חלק
- חלקים
- סיסמה
- סיסמאות
- אֲנָשִׁים
- דיוג
- מקום
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אנא
- נקודות
- יציאות
- פוטנציאל
- יָקָר
- נפוץ
- קודם
- קוֹדֶם
- יְסוֹדִי
- פְּרָטִי
- כנראה
- מעובד
- תהליכים
- תהליך
- פּרוֹפִיל
- משתלם
- להגן
- מוּגָן
- .
- פרוטוקול
- ציבורי
- מפתחות ציבוריים
- לאור
- מטרה
- גם
- רובע
- שאילתות
- RAM
- ממשי
- בֶּאֱמֶת
- קיבלו
- נמענים
- התאוששות
- Red
- אזורים
- שוחרר
- הסתמכות
- להשאר
- שְׂרִידִים
- הוסר
- הסרת
- תשובה
- דוחות לדוגמא
- מחקר
- חוקרים
- משאבים
- REST
- תוצאה
- הביא
- לַחֲזוֹר
- הכנסה
- תפקיד
- התגלגל
- פריסה
- RSA
- שמועות
- הפעלה
- ריצה
- s
- בטוח
- אותו
- ארגז חול
- תכנית
- סקריפטים
- שְׁנִיָה
- שניות
- אבטחה
- לִרְאוֹת
- לראות
- לשלוח
- שולח
- שולח
- נשלח
- משמש
- שרות
- שירותים
- סט
- משותף
- הראה
- חֲתִימָה
- משמעותי
- באופן משמעותי
- דומה
- since
- יחיד
- מידה
- מעט שונה
- להאט
- So
- חֶברָתִי
- הנדסה חברתית
- תוכנה
- נמכרים
- כמה
- מישהו
- משהו
- מָקוֹר
- דרום
- דרום אפריקה
- ספרד
- דואר זבל
- במיוחד
- התפשטות
- הפצת
- ממרחים
- החל
- החל
- מדינה
- הברית
- גונב
- שלב
- גָנוּב
- מאוחסן
- חנויות
- מחרוזת
- חזק
- מִבְנֶה
- מַאֲבָק
- נושא
- כתוצאה מכך
- בהצלחה
- כזה
- להציע
- מציע
- סיכום
- קיץ
- עבר
- מערכת
- מערכות
- שולחן
- נטילת
- יעד
- ממוקד
- מטרות
- מס
- טכניקות
- טכנולוגיה
- טלקום
- לספר
- בדיקות
- תאילנד
- תודה
- זֶה
- השמיים
- העתיד
- המידע
- המדינה
- העולם
- שֶׁלָהֶם
- אותם
- עצמם
- אז
- שם.
- אלה
- הֵם
- שְׁלִישִׁי
- צד שלישי
- זֶה
- אלה
- אם כי?
- איום
- איומים
- שְׁלוֹשָׁה
- דרך
- זמן
- ציר זמן
- פִּי
- ל
- יַחַד
- כלי
- כלים
- חלק עליון
- נושא
- לעקוב
- מעקב
- מסלולים
- מסחר
- תְנוּעָה
- מְגַמָה
- מגמות
- טריקים
- טרויאני
- נָכוֹן
- סומך
- שתיים
- להבין
- בעיצומה
- ייחודי
- מאוחד
- ארצות הברית
- בלתי שגרתי
- בקרוב ב
- עדכון
- מְעוּדכָּן
- עדכון
- שדרוגים
- us
- ארה"ב
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- שימושים
- באמצעות
- בְּדֶרֶך כְּלַל
- חופשה
- ערך
- VBA
- Ve
- אימות
- לאמת
- גרסה
- מאוד
- באמצעות
- קרבן
- קורבנות
- לצפיה
- לְבַקֵר
- אזהרה
- היה
- דרכים
- we
- אינטרנט
- דפדפני אינטרנט
- טוֹב
- הלכתי
- היו
- מה
- מתי
- אם
- אשר
- מי
- למה
- רָחָב
- באופן נרחב
- יצטרך
- עם
- Word
- עובד
- עוֹלָם
- עולמי
- ראוי
- היה
- שנה
- צהוב
- עוד
- זפירנט
- רוכסן
