Tatil için tam zamanında, kötü şöhretli Emotet kötü amaçlı yazılımı bir kez daha hızlı siber saldırılar için doğrudan Kobalt Strike işaretçilerini yüklüyor.
Emotet’e aşina olmayanlar için, en yaygın kötü amaçlı yazılım bulaşmalarından biri olarak kabul edilir ve kötü niyetli ekler içeren kimlik avı e-postaları yoluyla dağıtılır.
Geçmişte, bir cihaza virüs bulaştığında Emotet, kurbanın e-postasını gelecekteki kampanyalarda kullanmak üzere çalar ve ardından TrickBot ve Qbot gibi kötü amaçlı yazılım yüklerini bırakır.
Ancak, bu ayın başlarında Emotet test etmeye başladı. Kobalt Strike işaretçilerini yükleme normal yükleri yerine virüslü cihazlarda.
Cobalt Strike, tehdit aktörlerinin bir kuruluş içinde yanal olarak yayılmak ve nihayetinde bir ağ üzerinde fidye yazılımı dağıtmak için yaygın olarak kullandığı meşru bir sızma testi aracıdır.
Bu test kısa sürdü ve tehdit aktörleri kısa süre sonra tipik yüklerini dağıtmaya geri döndüler.
Emotet, Cobalt Strike yüklemelerine devam ediyor
Geçen hafta, Emotet tehdit aktörleri kimlik avı kampanyalarını askıya aldı ve o zamandan beri araştırmacılar gruptan başka bir etkinlik görmedi.
“Spam gönderme geçen hafta Perşembe günü durdu ve o zamandan beri, bugüne kadar çok az HİÇBİR ŞEY olup olmadığı konusunda sessiz kaldılar.” Joseph Roosen Cryptolaemus Emotet grubundan BleepingComputer’a söyledi.
Ancak Cryptolaemus, bugünden itibaren tehdit aktörlerinin Emotet tarafından halihazırda bulaşmış cihazlara bir kez daha Kobalt Strike işaretçileri yüklemeye başladıkları konusunda uyarıyor.
#Emotet E5 Güncellemesi. Aşağıdaki C2 s://koltary ile son birkaç dakika itibariyle CS Beacons’ın düştüğünü gözlemliyoruz[.]com/jquery-3.3.1.min.js. Filigran yine bir “0”dır. Görünüşe göre biri sonunda ayıldı ve yeni botnet ile bir şeyler yapmaya karar verdi. 1/x
— Kriptolaemus (@Kriptolaemus1) 15 Aralık 2021
Roosen, BleepingComputer’a Emotet’in şimdi doğrudan komuta ve kontrol sunucusundan Cobalt Strike modüllerini indirdiğini ve ardından bunları virüslü cihazda çalıştırdığını söyledi.
Emotet tarafından doğrudan yüklenen Kobalt Vuruşu işaretleri ile, bunları bir ağ üzerinden yanlamasına yayılmak, dosya çalmak ve kötü amaçlı yazılım dağıtmak için kullanan tehdit aktörleri, güvenliği ihlal edilmiş ağlara anında erişebilecek.
Bu erişim, saldırıların teslimini hızlandıracak ve tatillerden hemen önce olması, işletmelerin artık saldırıları izlemek ve bunlara yanıt vermek için sınırlı personele sahip olması nedeniyle çok sayıda ihlale yol açabilir.
jQuery olarak gizlenmiş C2 iletişimleri
BleepingComputer ile paylaşılan bir Cobalt Strike beacon örneğinde, kötü amaçlı yazılım, sahte bir ‘jquery-3.3.1.min.js’ dosyası aracılığıyla saldırganın komut ve kontrol sunucularıyla iletişim kuracaktır.
Kötü amaçlı yazılım C2 ile her iletişim kurduğunda, aşağıdaki resimde vurgulanan metinde gösterildiği gibi, her seferinde yeni talimatlarla değişen bir değişkene sahip olacak jQuery dosyasını indirmeye çalışır.
Dosyanın çoğu yasal jQuery kaynak kodu olduğundan ve yalnızca bazı içerikler değiştirildiğinden, yasal trafiğe karışır ve güvenlik yazılımını atlamayı kolaylaştırır.
Cobalt Strike’ın Emotet aracılığıyla hızlı dağıtımı, tüm Windows ve ağ yöneticilerinin ve güvenlik uzmanlarının radarında olması gereken önemli bir gelişmedir.
İşaretlerin halihazırda virüslü cihazlara dağıtımının artmasıyla birlikte, tatillerden hemen önce veya tatil sırasında artan sayıda kurumsal ihlal ve nihayetinde fidye yazılımı saldırıları görmemiz bekleniyor.