新报告揭示了Emotet在最近攻击中使用的传递和规避技术

Emotet是一个威胁行为者的工作，被跟踪为木乃伊蜘蛛（又名TA542），于2014年6月作为银行木马出现，然后在2016年演变成一个通用加载程序，能够提供勒索软件等第二阶段有效载荷。

虽然僵尸网络的基础设施在2021年1月作为协调执法行动的一部分被拆除，但Emotet在2021年11月通过另一种名为TrickBot的恶意软件反弹。

Emotet的复活是由现已解散的Conti团队精心策划的，此后为钴罢工感染以及最近涉及量子和黑猫的勒索软件攻击铺平了道路。

“Emotet执行链的持续调整是该恶意软件成功了这么长时间的原因之一，”VMware威胁分析部门（TAU）的研究人员在与黑客新闻共享的一份报告中说。

表情攻击流的另一个特点是使用不同的攻击媒介，试图长时间保持隐蔽。

这些入侵通常依赖于垃圾邮件波，这些垃圾邮件会传递带有恶意软件的文档或嵌入式 URL，当打开或单击时，这些垃圾邮件会导致恶意软件的部署。

仅在2022年1月，VMware就表示，它观察到三组不同的攻击，其中Emotet有效负载是通过Excel 4.0（XL4）宏，带有PowerShell的XL4宏以及带有PowerShell的可视化基本应用程序（VBA）宏提供的。

其中一些感染生命周期也因滥用称为mshta的合法可执行文件而引人注目.exe启动恶意HTA文件，然后丢弃Emotet恶意软件。

研究人员说：“Mshta和PowerShell等工具有时被称为非陆上生活二进制文件（LOLBINs），在威胁参与者中非常受欢迎，因为它们由微软签名并受到Windows的信任。

“这允许攻击者执行混乱的副手攻击，其中合法工具被愚弄执行恶意操作。

对近 25，000 个独特的表情符号 DLL 项目的进一步分析表明，其中 26.7% 被 Excel 文档丢弃。已经确定了多达139个独特的程序链。

Emotet的重新出现也以C2基础设施的变化为标志，威胁参与者运营着两个新的僵尸网络集群，称为Epochs 4和Epochs 5。在删除之前，Emotet操作在三个单独的僵尸网络上运行，称为Epochs 1，2和Epochs 3。

最重要的是，在2022年3月15日至2022年6月18日期间在野外检测到的10，235个Emotet有效载荷重用了属于Epoch 5的C2服务器。

除了对执行链和C2 IP地址的更改之外，Emotet还被发现分发了两个新插件，一个旨在从Google Chrome浏览器捕获信用卡数据，另一个使用SMB协议进行横向移动的扩展器模块。

其他重要组件包括垃圾邮件模块和微软Outlook和雷鸟电子邮件客户端的帐户窃取程序。

用于托管服务器的大多数IP地址都位于美国，德国和法国。相比之下，大多数Emotet模块都在印度，韩国，泰国，加纳，法国和新加坡托管。

为了防范 Emotet 等威胁，建议实施网络分段，强制实施零信任模型，并替换默认身份验证机制，以支持更强大的替代机制。