Emotet恶意软件重现活动

关键要点

• Emotet恶意软件在2021年初被打击后，于2022年10月重新活跃，并几乎每天都有活动。
• 目前的传播方式主要是通过“线程劫持”邮件发送恶意附件，包括密码保护的压缩文件。
• 安全专业人士应保持警惕，即使看不到特定团体的感染案例，也不能假设他们不再活跃。
• 进行主动防御是保护网络安全的关键。

研究人员于周四报告称，Emotet银行木马在2021年初被打击后，经过几个月的“暑假”，自去年10月以来几乎每天都有活动。

在一篇中，DeepInstinct的研究人员表示，目前这波Emotet恶意邮件是通过“线程劫持”邮件进行传播。附件既有密码保护的压缩文件，也有普通附件。

Emotet始于2014年，最初作为银行木马，通过模仿财务报表、转账和付款发票的垃圾邮件进行传播。研究人员指出，Emotet主要通过包含宏的MicrosoftOffice电子邮件附件进行传播。如果启用宏，它将下载一个恶意的PE文件（Emotet），并随后执行。

“安全专家应该将这项研究视为确认，即使他们未看到特定团体的感染普遍性，也并不意味着该团体不再存在或没有监控仍然受到感染的设备， ”Deep
Instinct的网络情报工程经理Matthew
Fulmer说道。“坏演员不会就此消失。当他们受到过多关注时，他们可能会保持低调，但在很多情况下，他们并不会消失。”

Fulmer解释说，Emotet重现的几次例子，及Darkside在攻击后消失，之后以新的名称重新出现且采用相同的攻击方法和负载。这也强调了被感染的机器所带来的危险，以及确保机器没有留下恶意软件的必要性。

“当Emotet重新开始行动时，首要任务是将更新的恶意软件推送到当前被感染的机器上，而我可以保证这些环境认为它们是干净的，但仍然存在一些持久性，允许该团体在返回时立即访问这些机器，”Fulmer表示。“安全团队需要更加主动，利用他们所能掌握的一切。这意味着需要将态度从检测转变为优先关注预防，同时改变思维方式，采用假设已被攻破的心态。”

Coalfire的副总裁AndrewBarratt表示，有一个群体在演变其策略以避免检测引擎的例子。Barratt提到，Proofpoint最近也发布了一篇关于Emotet重现的。Barratt认为，Emotet“下线”的时间是为了避免受到过多的检测疲劳。

“高量的检测对初始访问经纪人并不是好事——他们需要潜入是可能的，然后可以以合理的价格进行出售，”Barratt说道。“这可能是新的管理层或更好的货币化策略，也可能部分是去风险化策略，因为初始访问经纪人通常不会触发警报。而最终引发法律执行行动的是通过勒索软件/敲诈或大规模数据盗窃进行攻击的网络犯罪分子。”

Vulcan Cyber的高级技术工程师MikeParkin表示，虽然我们都希望某个威胁团体消失是永久性的，但他们重现活动并不令人惊讶。Parkin提到，有多个原因可能导致APT团体暂时消失。

“这可能包括执法压力、内部紧张、发展新工具和研究新攻击技术的时间，或者每个人去海边度假，使其看起来他们消失了，”