详细内容或原文请订阅后点击阅览
快速帖子 — Emotet:木乃伊再次归来
Emotet 是一种模块化恶意软件,作为攻击者获得初始访问权限的首选传递平台,它一直主导着威胁领域。它从 2014 年左右的一个简单的银行木马演变为一个成熟的恶意软件分发服务,为其他威胁团体提供各种有效载荷。美国国土安全部此前表示,Emotet……阅读
来源:Security Soup _恶意软件分析Emotet 是一种模块化恶意软件,它作为攻击者获得初始访问权限的首选交付平台,一直主导着威胁格局。它从 2014 年左右的一种简单的银行木马演变为一个成熟的恶意软件分发服务,为其他威胁组织提供了各种有效载荷。美国国土安全部此前表示,Emotet 感染给州和地方政府造成的补救成本高达 100 万美元。由于全球协调的执法中断,Emotet 僵尸网络基础设施在 2021 年 1 月遭受严重挫折。尽管采取了这一行动,Emotet 似乎已在被称为 Mummy Spider 的威胁组织运营上恢复运行。
Emotet 声明 全球协调 木乃伊蜘蛛了解 Emotet 相关发展情况的最佳方式是关注 Cryptolaemus 团队 以获取最新信息。Emotet 活动历来分布在三个不同的僵尸网络或“时代”,它们具有独立的基础设施,但在许多情况下确实存在一些操作重叠。Cryptolaemus 团队跟踪的最近活动被标记为“Epoch 4”。
Cryptolaemus 团队新活动
Brad Duncan 已经在 ISC 日记中很好地介绍了最近的活动,因此我建议查看此日记以了解更多背景信息和 IOC。我最近看到了其中一种较新的 Emotet 恶意文档,由于我有一段时间没有发布有关这些恶意软件活动的文章了,所以我觉得有必要重新开始,快速了解一下这些恶意文档是如何设计来执行混淆的 PowerShell 脚本的,然后该脚本会获取下一阶段 DLL 有效负载(Emotet 加载器)。
ISC 日记在此DOCM Maldoc
恶意文档为 DOCM 格式,具有相当通用的模板:
IOC
Maldoc SHA 256: