山海科技发展网

08月04日Emotet的进一步发展:运营商通过劫持现有的电子邮件线程来传递恶意软件

导读 摘要 自2014年被发现以来,Emotet经历了多次变化。 它最初是一个简单的银行木马,但后来演变成一个恶意软件下载器,并通过最终添加更...

摘要 自2014年被发现以来,Emotet经历了多次变化。 它最初是一个简单的银行木马,但后来演变成一个恶意软件下载器,并通过最终添加更多功能

自2014年被发现以来,Emotet经历了多次变化。 它最初是一个简单的银行木马,但后来演变成一个恶意软件下载器,并通过最终添加更多功能(例如垃圾邮件发送模块和其他机制来提高其效率和回避性)而进一步改变。

垃圾邮件始终是Emotet的主要发送方式。 在2019年第一季度,人们看到Emotet被用于一项涉及超过14,000封垃圾邮件的活动中,该邮件旨在将Nozelesn勒索软件的下载程序Nymaim恶意软件及其次要有效载荷发送给他人。 随着垃圾邮件运动的普遍进行,此最新消息更多地依赖于发送大量电子邮件,而不是创建旨在诱骗目标的逼真的电子邮件。 但是,安全公司Cofense和安全研究员Marcus Hutchins透露,臭名昭著的恶意软件背后的威胁行为者正在尝试使恶意电子邮件看上去更具说服力的新技术:劫持较旧的电子邮件线程并通过新回复使它们恢复。

劫持现有的电子邮件对话并不是一项新技术。 例如,在2018年的垃圾邮件活动中曾观察到这种情况,其中威胁行动者通过包含URSNIF恶意软件的邮件回复了正在进行的线程。 最新的Emotet广告活动类似,因为垃圾邮件是作为现有电子邮件交换的一部分发送的,而不是作为新邮件发送给潜在受害者的。 欺骗消息带有一个URL,单击该URL会将用户定向到感染了Emotet的文件,或者带有包含恶意软件的恶意附件。 可能这两个活动之间最显着的区别在于,与URSNIF活动不同,该活动向该线程发送了新的(可能是上下文外的)回复,Emotet消息引用了较旧的回复,因此使潜在受害者更容易相信。 包含来自Emotet的一台服务器的回复的电子邮件线程意味着至少有一个参与者已被感染。

Emotet运营商使用了他们从先前感染的受害者那里收集的电子邮件,特别是根据安全研究人员约瑟夫·罗森(Joseph Roosen)的说法,从2018年11月开始,这表明最新的活动是持续的多阶段大规模活动的一部分。 对抗情感表情的威胁

Emotet已从简单的银行恶意软件发展成为世界上最危险和最具弹性的网络威胁之一,经常被用于涉及多种工具,策略和程序的多区域活动中。 鉴于自发现以来,我们已经从恶意软件中汲取了很多年的经验和教训,在接下来的几个月中看到Emotet的更多发展也就不足为奇了。

要打击像Emotet这样的恶意软件,需要个人和组织共同努力,尤其要注意防御其主要攻击媒介:电子邮件。 用户应始终考虑电子邮件的上下文以及消息是否适合会话。 在这种情况下,即使该消息与对话有关,在上次答复之后的某个时间发送该消息的事实也应该是一个危险信号。 电子邮件中的任何链接或附件都应谨慎对待,尤其是在URL或文件名似乎可疑的情况下,例如,如果它们包含随机的单词和字母。

但是,即使应用这些最佳实践也可能不足以完全关闭像Emotet这样通用的威胁,对于那些缺乏人力和专业知识来应对其数量和复杂性的组织而言,尤其如此。 在这种情况下,公司可以通过考虑外部安全服务(例如趋势科技的托管检测和响应(MDR)服务)来增强其安全设置,该服务可以按需访问全职威胁分析人员,调查人员和事件响应专家。 拥有30年威胁研究经验的支持,MDR还可以为安全警报,日志和数据提供上下文,以更清晰地了解攻击的来源,作用以及在网络中的移动方式。 MDR可通过提供威胁搜寻,调查和关联,日志聚合,警报分类和安全数据分析来支持组织。 MDR服务通过确保组织具有必要的人员,工具和技术来检测,分析和响应任何威胁,来帮助组织维持良好的安全状态。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢