Emotet僵尸网络在缺席五个月后回归
ZDNet了解到,2019年最活跃的网络犯罪行动和恶意软件僵尸网络Emotet今天又恢复了新的攻击。在今天的攻击之前,Emotet在2月7日停止了所有活动,Proofpoint威胁研究高级总监Sherrod DeGrippo今天在一封电子邮件中告诉ZDNet。
该僵尸网络从三个独立的服务器集群 -- 被称为Epoch 1、Epoch 2和Epoch 3 -- 运行,正在喷出垃圾邮件,并试图用其恶意软件有效载荷感染新用户。
"今天的活动到目前为止,收件人主要在美国和英国,诱饵是用英语发送的,"DeGrippo说。
"电子邮件包含一个Word附件或链接到下载Word文档的URL,其中包含恶意宏,如果用户启用,将下载并安装Emotet。
"该活动正在进行中,到今天为止已经达到了大约8万封邮件。"DeGrippo补充道。
致力于检测和追踪Emotet的安全研究机构Cryptolaemus也证实了Emotet的复出,其他网络安全公司如CSIS、微软、Malwarebytes、Abuse.ch和Spamhaus也证实了这一点。
#Emotet spinning up their buisness. New spam modules being pushed and new spamwaves coming in from both Epoch 2 and 3. Either attached a doc or a mallink. Current Emotet tier-1 C&C geolocation attached. pic.twitter.com/vUTuf9v0GM
— peterkruse (@peterkruse) July 17, 2020
Emotet回归的消息,网络安全行业的人可能都不会喜欢。在2月黑暗之前,Emotet是迄今为止最大、最活跃、最复杂的网络犯罪行动。
Emotet团伙经营着一个电子邮件垃圾邮件基础设施,它用这个基础设施让终端用户感染Emotet木马。然后,它利用这个最初的立足点部署其他恶意软件,或者是为了自己的利益(如部署银行木马模块),或者是为了其他网络犯罪团伙租用受感染主机的访问权(如勒索软件团伙、其他恶意软件运营商如Trickbot等)。
由于其与勒索软件团伙的密切联系,在一些国家,如德国或荷兰,Emotet被视为与勒索软件攻击同等的紧急程度。发现Emotet感染主机的公司和组织被告知隔离受感染的系统,并在调查时将整个网络脱机,这是防止在此期间传递勒索软件有效载荷的必要措施。
这是Emotet在过去两年中的第二次重大断网。此前,它在去年5月至9月间也停止了所有业务。
页:
[1]