素材 | HackNews
解读 | 二进制01
中国一直都是全世界黑客聚焦的地方,排名第二的是印度。
而最近,新西兰的计算机应急小组发出警报称:针对法国、日本和新西兰企业的的Emotet恶意软件攻击死灰复燃,亚洲和欧洲的网络安全机构发布了多个安全警报。
这也意味着:不止中国,可能整个亚洲、欧洲都在特洛伊木马的针对范围内。我们具体来了解一下。
——基于钓鱼邮件——
新西兰计算机应急小组(CERT)说:“这些电子邮件包含恶意附件和链接,提示接收者下载。这些链接和附件看起来像是真实的发票、财务文件、装运信息、简历、扫描文件或COVID-19相关的信息,但它们都是假的。”
与此同时,日本的计算机机构(JPCERT/CC)警告称,发现国内域(.jp)电子邮件地址极速增加,这些地址已被恶意软件感染,并被滥用发送垃圾邮件,尝试进一步传播。
——Emotet——
Emotet最早于2014年被一个名为TA542(又名Mummy Spider)的威胁组织开发,此后Emotet已经从最初的简单特洛伊木马演变为模块化的“瑞士军刀”,根据部署方式,它可以充当下载器、信息窃取者和垃圾邮件发送器。
近几个月来,这种恶意软件涉及多个僵尸网络相关的恶意钓鱼邮件行动,甚至可以通过向其他恶意软件集团出租其僵尸网络来传递更危险的有效载荷,如Ryuk勒索软件。
Emotet活动的新一轮上升与7月17日的回归曲线相吻合,在经历了自今年2月7日以来的长时间开发之后,这些恶意软件全天候工作,发送多达50万封针对欧洲组织的电子邮件。
——一些补充——
它从泄露的邮箱中获取电子邮件的对话和附件制造网络钓鱼诱饵,对受害者和其他人之间正在进行的电子邮件交流进行响应,使电子邮件看起来更可信。
法国国家网络安全局(ANSSI)说:“TA542还根据泄露的邮箱中收集的信息构建了网络钓鱼电子邮件系统,发送给策划好的联系人名单,或者更简单地伪造真实的图像。”
除了使用“JPCERT/CC”的EmoCheck工具来检测Windows系统上是否存在Emotet特洛伊木马程序外,建议定期扫描网络日志来确定是否与已知Emotet命令和控制(C2)设施进行了连接。
上个月,Proofoint研究员对Emotet进行了详尽的分析,他说:“自从长假返回工作后,TA542的电子邮件活动再次以很大的‘优势’成为恶意邮件最多的活动。”
地址:proofpoint.com/us/blog/threat-insight/comprehensive-look-emotets-summer-2020-return
“他们已经对恶意软件进行了代码重构,例如更新了电子邮件发送模块,并构造了一个新的有效载荷来分发邮件(Qbot),扩大了针对的国家名单。”
Emotet针对的都是国际上的大企业,利用员工们的懈怠和薄弱意识谋取利益。这对个人没有什么影响,可是对于企业,足够让它们头疼了。
由于新冠疫情,躲在黑暗中的一些组织都在乘风作浪,安全事件将接踵而至。我会持续跟进,为大家带来一手资讯。
