Kötü amaçlı Emotet dağıtan bir siber suç grubu olan TA542, yaz tatilini sonlandırdı ve giderek daha fazla yeni kampanya başlatıyor. Ancak, değiştirilmiş Emotet türevleriyle de.
TA542 Grubu neredeyse dört aydır yoktu ve en son 13 Temmuz 2022 yazında eylem halinde görüldü. 2 Kasım'dan bu yana Proofpoint'in güvenlik uzmanları TA542'nin özellikle Almanya'daki yeni faaliyetlerini izliyor.
Emotet kampanyalarıyla ilgili temel çıkarımlar
- TA542, yeni kampanyalarda özelleştirilmiş Emotet çeşitleri kullanır. Değişiklikler (aşağıya bakın), yükleri ve kullanılan yemleri ve ayrıca Emotet modülleri, yükleyici ve paketleyicideki değişiklikleri etkiler.
- Emotet artık bankacılık Trojan IcedID'sini de sunuyor.
- Yeni faaliyetler, Emotet'in çeşitli kötü amaçlı yazılım türleri için bir dağıtım ağı olarak tam işlevselliğini yeniden kazandığını gösteriyor.
- Botnet'in önceki kampanyalardan bazı temel farklılıkları vardır. Bu, yeni operatörlerin veya yeni yönetimin dahil olduğunu gösterir.
- TA542'nin e-posta kampanyaları, e-posta hacmi açısından siber suç liderleri arasındadır. Proofpoint zaten günde yüzbinlerce mesajı engelledi.
- Kötü amaçlı yazılımı içeren Excel dosyası, potansiyel kurbanlar için dosyayı bir Microsoft Office şablon konumuna kopyalayıp oradan çalıştırma talimatları içerir. Bunun için yönetici hakları gereklidir. Bu, şirket bilgisayarlarından çok özel bilgisayarlar için geçerlidir.
Emotet'in ana yenilikleri
- Excel ekleri için yeni görsel tuzaklar
- Emotet ikili dosyasındaki değişiklikler
- Emotet, IcedID yükleyicinin yeni bir sürümünü kullanıyor
- IcedID'ye ek olarak, kötü amaçlı yazılım indirici Bumblebee kullanılır
Proofpoint'in siber güvenlik uzmanları, TA542'nin daha yüksek e-posta hacimleri, daha fazla hedeflenen bölgeler ve eklenen veya bağlantılı kötü amaçlı yazılımların yeni varyantları veya teknikleri potansiyeli ile yöntemlerini uyarlamaya devam edeceğini tahmin ediyor. Emotet ikili dosyasında halihazırda yapılmış olan değişiklikler, siber suçluların da onu özelleştirmeye devam edeceğini gösteriyor.
Emotet: Uzmanlar güçlü bir artış bekliyor
Her şey, Emotet'in birçok büyük kötü amaçlı yazılım ailesi için bir dağıtım ağı olarak tam işlevselliğini yeniden kazanacağını gösteriyor. Özellikle ilginç olan, Emotet'in gelişiyor olmasıdır. Yıllardır izliyoruz ve faaliyetlerini durdurduğuna dair bir işaret yok. Dokuzdan fazla canı olan bir kedi gibi ölüp dirilmeye devam ediyor.
Daha fazlası Proofpoint.com'da
Prova Noktası Hakkında Proofpoint, Inc. önde gelen bir siber güvenlik şirketidir. Proofpoint'in odak noktası, çalışanların korunmasıdır. Çünkü bunlar bir şirket için en büyük sermaye, aynı zamanda en büyük risk anlamına gelir. Entegre bir bulut tabanlı siber güvenlik çözümleri paketiyle Proofpoint, dünyanın dört bir yanındaki kuruluşların hedeflenen tehditleri durdurmasına, verilerini korumasına ve kurumsal BT kullanıcılarını siber saldırı riskleri konusunda eğitmesine yardımcı olur.