Emotet ist zurück – auch in Deutschland

TA542, eine Gruppe von Cyberkriminellen, die die Emote-Malware verbreitet, hat ihre Sommerpause beendet und ihre Arbeit in größerem Umfang und mit neuen Methoden wieder aufgenommen. Die Gruppe war etwa vier Monate lang außer Sichtweite und wurde zuletzt im Sommer am 13. Juli 2022 in Aktion gesehen.

Seit dem 2. November beobachten die Sicherheitsexperten von Proofpoint neue Aktivitäten auf TA542 – insbesondere in Deutschland.

Einige wichtige Erkenntnisse aus den letzten Kampagnen

  • TA542 verwendet optimierte Emote-Varianten in neuen Kampagnen. Die Änderungen (siehe unten) betreffen die verwendeten Payloads und Decoys sowie Änderungen an Emote-Modulen, Loadern und Packern.
  • Emotet bietet jetzt auch den Banking-Trojaner IcedID an.
  • Die neuen Aktivitäten deuten darauf hin, dass Emotet seine volle Funktionalität als Verteilungsnetzwerk für verschiedene Arten von Malware wiedererlangt.
  • Das Botnet weist einige wesentliche Unterschiede zu früheren Kampagnen auf. Dies weist darauf hin, dass ein neuer Bediener oder ein neues Management beteiligt ist.
  • Die E-Mail-Kampagnen von TA542 gehören in Bezug auf das E-Mail-Volumen zu den Spitzenreitern im Bereich der Cyberkriminalität. Proofpoint blockiert bereits Hunderttausende von Nachrichten pro Tag.
  • Eine Excel-Datei, die Malware enthält, enthält Anweisungen für potenzielle Opfer, die Datei an einen Microsoft Office-Vorlagenspeicherort zu kopieren und von dort aus auszuführen. Dies erfordert Administratorrechte. Dies gilt eher für PCs als für Firmencomputer.

Wichtige neue Funktionen von Emotet:

  • Neue visuelle Köder für Excel-Anhänge
  • Änderungen an der Emotet-Binärdatei
  • Emotet verwendet eine neuere Version des IcedID-Loaders
  • Neben IcedID kommt der Malware-Downloader Bumblebee zum Einsatz
Auch Lesen :  Einstieg in aggressive Handelspolitik? » Perspektive

Die Cybersicherheitsexperten von Proofpoint gehen davon aus, dass TA542 seine Methoden weiterhin an höhere E-Mail-Volumen, mehr Zielgebiete und neue Varianten oder Techniken angehängter oder verknüpfter Malware anpassen wird. Bereits an der Emotet-Binärdatei vorgenommene Änderungen deuten darauf hin, dass Cyberkriminelle sie weiter anpassen werden.

Sherrod DeGrippo, Sr. Director Threat Research and Detection Proofpoint relativiert die neue Welle von Emotet: „Emotet ist ein unglaublich leistungsfähiges Netzwerk zur Bereitstellung von Malware. Es existiert seit Jahren und ist eine der größten Bedrohungen, die wir nach Volumen überwachen schiere Hartnäckigkeit und innovative Taktiken.Wir verfolgen genau.

Emotet war seit Juli dieses Jahres nicht mehr aufgetaucht und tauchte diesen Monat wieder auf. Mit seiner Rückkehr haben wir einige Änderungen und Verbesserungen gesehen. Emotet verwendet neue Excel-Anhänge als Köder, es gab einige bemerkenswerte Aktualisierungen der Binärdatei, und einige Leute berichten, dass Emotet einen anderen Downloader namens Bumblebee verwendet. Emotet bietet auch einen IcedID-Loader an. Über Emotet werden täglich Tausende von Nachrichten mit Anhängen in Deutsch, Griechisch, Englisch, Italienisch, Französisch und Japanisch verschickt.

Alles deutet darauf hin, dass Emotet seine volle Funktionalität als Vertriebsnetzwerk für mehrere große Malware-Familien wiedererlangen wird. Besonders interessant ist, dass sich Emotet weiterentwickelt. Wir beobachten es seit Jahren und es gibt keine Anzeichen dafür, dass es aus dem Geschäft geht. Sie stirbt und lebt wie eine Katze mit mehr als neun Leben.”

Auch Lesen :  Zulassungsprobleme bei der Neubaustrecke Wendlingen-Ulm- SWR Aktuell

NL-Symbol 2

Ein umfassender Blick auf die Rückkehr von Emotet im Herbst 2022

Das E-Mail-Volumen, das das Emote-Botnetz täglich zuzustellen versucht, geht in die Hunderttausende. Diese Zahlen sind vergleichbar mit vergangenen Durchschnittswerten. Das Emote-Botnet scheint während seiner Inaktivität keine nennenswerten Spamming-Fähigkeiten verloren zu haben. Zur Verdeutlichung: Die von Proofpoint-Experten beobachteten Spitzenwerte befanden sich unter Millionen von E-Mails, wobei der letzte derartige Spitzenwert im April 2022 auftrat. Die folgende Grafik zeigt das E-Mail-Aufkommen in den letzten fünf Jahren. Die Spitze unten rechts im Diagramm stellt die Aktivität im November 2022 dar.

Kampagnen

In den letzten Kampagnen verwendet TA542 Thread-Hijacking und E-Mails in verschiedenen Sprachen. Die Gruppe verwendet weiterhin normale Köder. Am 8. November benutzte Emotet kurzzeitig einen IRS-Themenköder, der möglicherweise mit den vierteljährlichen Unternehmensanforderungen des US-Finanzamtes zusammenhängt. Während noch keine anderen aktuellen Ereignisse und Urlaubsköder beobachtet wurden, wird es wahrscheinlich bald zum Einsatz kommen.

Proofpoint-Experten überwachten Kampagnen fast jeden Tag der Woche nach dem 2. November, insbesondere an den folgenden Tagen: 2. November, 3. November, 4. November, 7. November, 8. November, 9. November, 10. November und 11. November 2022. Nach dem Emoticon. TA542 ist seit über einer Woche täglich aktiv und hat seine Aktivitäten vorübergehend eingestellt. Proofpoint-Experten erwarten, dass TA542 seine Missionen bald wieder aufnehmen wird.

5 Jahre indexierte Emote-E-Mail vol
Abbildung 1: Indexiertes Emote-E-Mail-Volumen über 5 Jahre

Zielgebiete

TA542 zielt auf dieselben Länder ab wie vor der Pause. Die folgenden Länder mit hohem E-Mail-Verkehr wurden anvisiert: Vereinigte Staaten, Vereinigtes Königreich, Japan, Deutschland, Italien, Frankreich, Spanien, Mexiko und Brasilien (diese Liste ist nicht vollständig). In diesen Ländern verwendet der TA542 die Landessprache in E-Mail-Text, Betreff und Dateinamen.

Auch Lesen :  Hans Magnus Enzensberger: Reaktionen auf den Tod des Schriftstellers - Kultur
Emote-E-Mail in deutscher Sprache
Bild 2: Deutschsprachige Emote-E-Mail

Schädlicher Inhalt, der von TA542 seit seiner Rückkehr am 2. November gesendet wird, ist normalerweise ein Excel-Anhang oder ein passwortgeschützter ZIP-Anhang, der eine Excel-Datei enthält. Die Excel-Dateien enthalten XL4-Makros, die die Emotet-Payload von mehreren (normalerweise vier) URLs herunterladen.

Es ist die gleiche Art von Excel-Tabelle mit Makros, die die Gruppe vor ihrer Pause verwendet hat. Neu ist, dass die Excel-Datei jetzt Anweisungen für potenzielle Opfer enthält, um die Datei an einen Speicherort für Microsoft Office-Vorlagen zu kopieren und von dort aus auszuführen. Dies ist ein vertrauenswürdiger Speicherort, und beim Öffnen eines Dokuments in diesem Ordner werden sofort Makros ausgeführt, ohne dass eine Warnung oder Benutzerinteraktion erforderlich ist. Beim Verschieben der Datei an den Speicherort der Vorlage fragt das Betriebssystem den Benutzer nach einer Bestätigung und weist darauf hin, dass für ein solches Verschieben Administratorrechte erforderlich sind.

Es ist derzeit unklar, wie effektiv diese Technik ist. Anwender müssen Makros zwar nicht mehr mit einem zusätzlichen Klick aktivieren, aber dennoch die Datei verschieben und den Dialog bestätigen. Und der Benutzer muss über Administratorrechte verfügen. Dies gilt eher für PCs als für Firmencomputer.

Weitere Informationen zur neuesten Emote-Kampagne finden Sie hier.

www.proofpoint.com

Source

Leave a Reply

Your email address will not be published.

In Verbindung stehende Artikel

Back to top button