Emotet ellátási lánc
A VMware fenyegetéselemző részlegének elemzése szerint – amely az Emotet új kampányból 2022 elején gyűjtött adatból áll – a csoport tanult a 2021-es, az Europol és az Eurojust által koordinált nemzetközi akcióból. Így bonyolultabb és finomabb végrehajtási láncokat hoztak létre, a konfigurációkat hatékonyabban rejtik el, valamint védik a C2 infrastruktúrájukat. A csoport a közelmúltban frissített két korábbi modult, hogy javítsa a hitelkártya-lopási funkcionalitást.
Összességében a kutatás jelzi, hogy az Emotet fejlődik, hogy megnehezítse felismerését és blokkolását. A jelentésben a VMware által elemzett két hullám rosszindulatú Excel-dokumentumot használt a rendszerek megfertőzésére, az első – és a kisebb – hullám XL4 makróval, míg a második hullám ezt a PowerShell-lel párosította. A kutatók a támadásokat kezdeti hívásváltozatokra és végrehajtási folyamatokra bontották le, és 139 egyedi programláncot és 20 955 egyedi hívási láncot találtak, amelyek a fertőzés egyedi megjelenését biztosító változatok.
Ezek alapján a kutatócsoport képes volt azonosítani az Emotet támadások különböző szakaszait számos kezdeti fertőzési hullámmal képes volt összekötni a támadásokat.
További friss frissítések közé tartozik egy modul, amely a Google Chrome böngészőit használta ki a hitelkártyaadatok ellopása érdekében, és egy második modul, amely a fertőzést a szerver üzenetblokkoló (SMB) protokolljával, amely a hackerek általános technikája továbbítja más számítógépekre.