Emotet ist zurück – auch in Deutschland

TA542, eine cyberkriminelle Gruppe, die die Emotet-Malware verbreitet, hat ihre Sommerferien beendet und ihre Arbeit in großem Umfang und mit neuen Methoden wieder aufgenommen. Das Team war fast vier Monate außer Gefecht und wurde zuletzt im Sommer am 13. Juli 2022 im Einsatz gesehen.

Seit dem 2. November beobachten die Sicherheitsexperten von Proofpoint neue Aktivitäten von TA542 – insbesondere in Deutschland.

Einige Schlüsselelemente aus den letzten Kampagnen

  • TA542 verwendet benutzerdefinierte Emotet-Variationen in den neuen Kampagnen. Die Änderungen (siehe unten) betreffen die verwendeten Payloads und Decoys sowie Änderungen an den Emotet-Modulen, Loader und Packer.
  • Emotet stellt nun auch den Banking-Trojaner IcedID zur Verfügung.
  • Die neuen Aktivitäten zeigen, dass Emotet seine volle Funktionalität als Verteilungsnetzwerk für verschiedene Arten von Malware zurückgewinnt.
  • Das Botnet weist einige wesentliche Unterschiede zu früheren Kampagnen auf. Dies weist darauf hin, dass neue Betreiber oder ein neues Management involviert sind.
  • Die E-Mail-Kampagnen von TA542 gehören in Bezug auf das E-Mail-Volumen zu den Top-Cyberkriminalität. Proofpoint blockiert bereits Hunderttausende von Nachrichten pro Tag.
  • Die Excel-Datei, die die Malware enthält, enthält Anweisungen für potenzielle Opfer, die Datei an einen Microsoft Office-Vorlagenspeicherort zu kopieren und von dort aus auszuführen. Dies erfordert Administratorrechte. Dies gilt eher für PCs als für Firmencomputer.

Die wichtigsten neuen Funktionen von Emotet:

  • Neue visuelle Köder für Excel-Anhänge
  • Änderungen an der Emotet-Binärdatei
  • Emotet verwendet eine neue Version des IcedID-Loaders
  • Neben IcedID wird der Malware-Downloader Bumblebee verwendet
Auch Lesen :  Kampfflugzeuge für die Bundeswehr: F-35-Jets könnten erheblich teurer werden

Die Cyber-Experten von Proofpoint erwarten, dass TA542 ihre Methode weiter anpassen wird, mit dem Potenzial für größere E-Mail-Volumen, gezieltere Bereiche und neue Varianten oder Techniken von verknüpfter oder verbundener Malware. Die bereits an der Emotet-Binärdatei vorgenommenen Änderungen deuten darauf hin, dass Cyberkriminelle sie auch weiterhin optimieren werden.

Sherrod DeGrippo, Sr. Director Threat Research and Detection bei Proofpoint relativiert die neue Emotet-Welle: „Emotet ist ein unglaublich leistungsfähiges Netzwerk zur Bereitstellung von Malware. Es gibt es schon seit Jahren und es ist eine der größten Bedrohungen, die wir nach Volumen verfolgen. Wir verfolgen die Aktivitäten aufgrund ihrer schieren Hartnäckigkeit und innovativen Taktiken sehr genau.

Emotet war seit Juli dieses Jahres nicht mehr aufgetaucht und tauchte diesen Monat wieder auf. Bei seiner Rückkehr bemerkten wir einige Änderungen und Verbesserungen. Emotet verwendet neue Excel-Anhänge als Köder, es gibt einige bemerkenswerte Aktualisierungen der Binärdatei, und einige Leute berichten, dass Emotet einen anderen Downloader namens Bumblebee liefert. Emotet stellt auch den IcedID-Loader bereit. Hunderttausende Nachrichten werden täglich über Emotet verschickt, inklusive Anhängen in Deutsch, Griechisch, Englisch, Italienisch, Französisch und Japanisch.

Alles deutet darauf hin, dass Emotet seine volle Funktionalität als Vertriebsnetzwerk für mehrere große Malware-Familien wiedererlangen wird. Besonders interessant ist, dass sich Emotet weiterentwickelt. Wir beobachten es seit Jahren und es gibt keine Anzeichen dafür, dass es aufhören wird zu funktionieren. Er stirbt und lebt wieder auf wie eine Katze mit mehr als neun Leben.”

Auch Lesen :  "The-Voice-of-Germany"-Gewinner kommt nach Schermbeck

NL-Symbol 2

Ein umfassender Blick auf die Rückkehr von Emotet im Herbst 2022

Das E-Mail-Volumen, das das Emotet-Botnetz täglich zuzustellen versucht, geht in die Hunderttausende. Diese Zahlen sind mit früheren Durchschnittswerten vergleichbar. Das Emotet-Botnet scheint während seiner Inaktivität keine nennenswerten Spam-Fähigkeiten verloren zu haben. Zur Verdeutlichung: Die von den Experten von Proofpoint beobachteten Spitzen gingen in die Millionen von E-Mails, wobei die letzte derartige Spitze im April 2022 auftrat. Die folgende Grafik zeigt das E-Mail-Volumen in den letzten fünf Jahren. Die Spitze in der unteren rechten Ecke des Diagramms repräsentiert die Aktivität im November 2022.

Kampagnen

In den aktuellen Kampagnen verwendet TA542 Thread-Hacking und verwendet E-Mails in verschiedenen Sprachen. Die Gruppe verwendet weiterhin allgemeine Köder. Am 8. November benutzte Emotet kurzzeitig IRS-Köder, möglicherweise im Zusammenhang mit den vierteljährlichen Unternehmensanmeldungen der US-Steuerbehörde. Auch wenn andere Zeitgeschehen und Urlaubsattraktionen noch nicht beobachtet wurden, ist davon auszugehen, dass diese bald genutzt werden.

Proofpoint-Experten haben die Kampagnen seit dem 2. November fast jeden Tag der Woche überwacht, insbesondere an den folgenden Tagen: 2. November, 3. November, 4. November, 7. November, 8. November, 9. November, 10. November und 11. November 2022. Nach Emotet täglich aktiv Seit über einer Woche hat TA542 den Betrieb vorübergehend eingestellt. Proofpoint-Experten sagen voraus, dass TA542 seine Kampagnen bald wieder aufnehmen wird.

Emotet-E-Mail-Volumen mit 5-Jahres-Index
Abbildung 1: Emotet-E-Mail-Volumen, indexiert über 5 Jahre

Zielgebiete

TA542 zielt auf ähnlich viele Länder ab wie vor der Pause. Die folgenden Länder wurden mit hohem E-Mail-Verkehr angegriffen: Vereinigte Staaten, Vereinigtes Königreich, Japan, Deutschland, Italien, Frankreich, Spanien, Mexiko und Brasilien (diese Liste ist nicht vollständig). In diesen Ländern verwendet der TA542 die Landessprache in E-Mail-Text, Betreff und Dateinamen.

Auch Lesen :  Julian Pförtner über Basti, Tammo und Anny
Deutschsprachiges E-Mail-Emotet
Abbildung 2: Deutsche Emotet-E-Mail

Der schädliche Inhalt der E-Mails, die TA542 seit dem 2. November verschickt, ist normalerweise ein Excel-Anhang oder ein passwortgeschützter ZIP-Anhang, der eine Excel-Datei enthält. Die Excel-Dateien enthalten XL4-Makros, die die Emotet-Payload von mehreren (normalerweise vier) enthaltenen URLs herunterladen.

Es ist die gleiche Art von Excel-Tabelle mit Makros, die das Team vor seiner Pause verwendet hat. Neu ist, dass die Excel-Datei jetzt Anweisungen für potenzielle Opfer enthält, um die Datei an einen Speicherort für Microsoft Office-Vorlagen zu kopieren und von dort aus auszuführen. Dies ist ein vertrauenswürdiger Speicherort, und das Öffnen eines Dokuments in diesem Ordner führt dazu, dass die Makros sofort ausgeführt werden, ohne dass eine Warnung oder eine Benutzerinteraktion erforderlich ist. Wenn Sie eine Datei an einen Vorlagenspeicherort verschieben, fordert das Betriebssystem den Benutzer zur Bestätigung auf und weist darauf hin, dass für eine solche Verschiebung Administratorrechte erforderlich sind.

Es ist derzeit unklar, wie effektiv diese Technik ist. Zwar müssen Anwender Makros nicht mehr per Extra-Klick aktivieren, aber immer noch eine Datei verschieben und den Dialog bestätigen. Und der Benutzer muss Administratorrechte haben. Dies gilt eher für PCs als für Firmencomputer.

Weitere Informationen zur jüngsten Emotet-Kampagne finden Sie hier.

www.proofpoint.com

Source

Leave a Reply

Your email address will not be published.

In Verbindung stehende Artikel

Back to top button