Emotet マルウェアを配布するサイバー犯罪グループである TA542 は、夏休みを終え、ますます多くの新しいキャンペーンを開始しています。 ただし、変更された Emotet バリアントでも同様です。
グループ TA542 はほぼ 13 か月間姿を消し、2022 年 2 月 542 日の夏に活動が最後に確認されました。 XNUMX 月 XNUMX 日以降、Proofpoint のセキュリティ スペシャリストは、特にドイツでの TAXNUMX による新しい活動を監視しています。
Emotet キャンペーンの重要ポイント
- TA542 は、新しいキャンペーンでカスタマイズされた Emotet の亜種を使用します。 変更 (以下を参照) は、使用されるペイロードとベイト、および Emotet モジュール、ローダー、パッカーへの変更に影響します。
- Emotet は、バンキング型トロイの木馬 IcedID も配信するようになりました。
- 新しい活動は、Emotet がさまざまな種類のマルウェアの配布ネットワークとして完全な機能を取り戻していることを示しています。
- ボットネットには、以前のキャンペーンとのいくつかの重要な違いがあります。 これは、新しいオペレーターまたは新しい管理者が関与していることを示しています。
- TA542 の電子メール キャンペーンは、電子メールの量の点でサイバー犯罪のリーダーの XNUMX つです。 Proofpoint は、すでに XNUMX 日あたり数十万件のメッセージをブロックしています。
- マルウェアを含む Excel ファイルには、潜在的な被害者がファイルを Microsoft Office テンプレートの場所にコピーし、そこから実行するための指示が含まれています。 これには管理者権限が必要です。 これは、会社のコンピューターよりも個人のコンピューターに当てはまります。
Emotet の主なイノベーション
- Excel 添付ファイルの新しい視覚的なおとり
- Emotet バイナリへの変更
- Emotet は新しいバージョンの IcedID ローダーを使用します
- IcedID に加えて、マルウェア ダウンローダー Bumblebee が使用されます。
Proofpoint のサイバーセキュリティの専門家は、TA542 がその方法を引き続き適応させ、電子メールの量が増え、より標的となる地域が増え、添付またはリンクされたマルウェアの新しい亜種または技術が追加される可能性があると予想しています。 Emotet バイナリにすでに加えられた変更は、サイバー犯罪者が引き続きバイナリをカスタマイズすることを示唆しています。
Emotet: 専門家は力強い上昇を予想
すべては、Emotet が多くの主要なマルウェア ファミリの配布ネットワークとして完全な機能を取り戻すことを示しています。 特に興味深いのは、Emotet が進化していることです。 私たちはそれを何年も監視してきましたが、運用を停止する兆候はありません。 九つ以上の命を持つ猫のように、死と再生を繰り返す。
詳細は Proofpoint.com をご覧ください
プルーフポイントについて Proofpoint, Inc. は、大手サイバーセキュリティ企業です。 Proofpoint の焦点は、従業員の保護です。 これらは企業にとって最大の資本であると同時に、最大のリスクでもあるからです。 Proofpoint は、クラウドベースのサイバーセキュリティ ソリューションの統合スイートにより、世界中の組織が標的型脅威を阻止し、データを保護し、サイバー攻撃のリスクについて企業の IT ユーザーを教育するのに役立ちます。