详细内容或原文请订阅后点击阅览
快速帖子:Mummy Spider 在假期传播 Emotet 恶意文档
Emotet 是一个模块化恶意软件传递平台,在过去几年中一直主导着商品恶意软件威胁领域。它已经从一个简单的银行木马发展成为一个成熟的恶意软件分发服务,为其他威胁行为者团体传递各种有效载荷。美国国土安全部表示,Emotet 感染使国家付出了代价……阅读
来源:Security Soup _恶意软件分析Emotet 是一个模块化恶意软件交付平台,在过去几年中一直主导着商品恶意软件威胁领域。它已经从一个简单的银行木马演变为一个成熟的恶意软件分发服务,为其他威胁行为者团体提供各种有效载荷。美国国土安全部表示,Emotet 感染给州和地方政府造成的补救成本高达 100 万美元。Emotet 由被称为 Mummy Spider 的威胁组织运营。
Emotet 声明 Mummy SpiderEmotet 通常通过启用宏的 Word 文档在网络钓鱼活动中传递,最近我看到其中一个较新的 Emotet 恶意文档出现在我的办公桌上。由于我有一段时间没有发布有关这些恶意软件活动的帖子了,所以我认为有必要快速了解一下这些恶意文档是如何设计来执行混淆的 PowerShell 脚本的,然后该脚本会获取下一阶段的有效负载(Emotet 加载器)。在这里,我将快速介绍代码混淆,并提供一些有关此新活动的详细信息,同时还提供了双重奖励,既可以破解受密码保护的 ZIP 存档,又可以方便地使用 CyberChef 新配方,以便分析师和响应者可以解码嵌入的 PowerShell 脚本,从而快速提取基于网络的入侵指标 (IOC)。
CyberChef活动
了解最新动态的最佳方式是关注 Cryptolaemus 团队,了解最新动态。 Emotet 活动通常分布在三个不同的僵尸网络或“Epoch”中,它们具有独立的基础设施,但在许多情况下确实存在一些操作重叠。最近的活动涉及 Word 文档附件或嵌入式 URL,这些 URL 导致下载武器化的 Word 文档。
Cryptolaemus 团队 我的 github