Emotet惡意軟件竟然也被黑了?
是的,你沒看錯,Emotet惡意軟件竟然也被別人黑了!近日,有人為了拿Emotet僵尸網絡來開涮,竟然直接入侵了Emotet惡意軟件的分發站點,并替換掉了Emotet原本所使用的惡意Payload以及GIF圖片。
研究人員發現,這一次針對Emotet惡意軟件的攻擊活動在過去的幾天時間里一直都在進行,而這一次的攻擊活動也導致Emotet垃圾郵件活動暫停了一段時間,因為他們需要想辦法重新拿回自己Emotet分發網站的控制權限。
大家應該都知道,Emotet的發行和傳播依賴于這些被黑客攻擊的網站,網絡犯罪分子需要利用這些網站來存儲用于垃圾郵件活動的攻擊Payload。
當垃圾郵件活動的目標用戶受騙上當并打開了垃圾郵件的附件時,嵌入在惡意附件中的惡意宏將會被執行,并從僵尸網絡中獲取并下載Emotet惡意軟件的Payload。
如果沒有這些惡意Payload,那么目標用戶的電腦就不會被Emotet所控制。因此,無論是和人在僵尸網絡的分發網絡中替換了原本的惡意軟件(Payload),這一行為都是對用戶有益的,同時這一行為也讓Emotet背后的攻擊者忙得不可開交了。
Joseph Roosen是Cryptolaemus研究小組的成員,他一直在跟Emotet惡意軟件打交道,他也將此次針對Emotet惡意軟件活動背后的人稱之為“白衣騎士”。
目前,Emotet僵尸網絡分發站點上的惡意文檔以及Payload已經被替換成了各種圖片。研究人員打開Emotet惡意軟件的分發站點之后,首先看到的是詹姆斯·弗蘭科的照片,然后Emotet分發網站也變成了Hackerman meme的相關內容。
Roosen在其發表的推文中寫道:“目前,針對Emotet惡意軟件的攻擊活動仍然處于進行之中,受影響的站點是Emotet T1發行站點,這個站點主要負責托管垃圾郵件活動中所使用的惡意附件文檔以及惡意軟件。”
研究人員在接受BleepingComputer的采訪時表示,Emotet背后的攻擊者之所以將垃圾郵件活動置于待命狀態,就是因為“白衣騎士”這一次的行為。當然了,Emotet背后的攻擊者可能會對Emotet進行一些升級和改變,以保護他們的惡意活動。
在發送垃圾郵件時,Emotet會使用各種不同的電子郵件模板和惡意附件文檔來實現惡意軟件的傳播。
有些垃圾郵件會將惡意Word文檔直接附加到電子郵件中,而其他的一些垃圾郵件則會包含用戶必須單擊才能下載文檔的鏈接。
對于那些包含釣魚鏈接的惡意電子郵件,當目標用戶點擊它們之后,原本應該打開和安裝的是惡意文檔/惡意軟件,但現在他們將會看到一個meme或毫無意義的圖像。
下面給出的是目前Emotet分發站點目前的樣子:視頻地址:https://vimeo.com/441369969
微軟網絡安全研究人員Kevin Beaumont也注意到了此次針對Emotet的攻擊活動,他對Emotet發行站點進行了檢查,并且發現其中大約有四分之一的Payload已經被GIF圖片所代替了。
研究人員表示,整個內容替換活動發生的非常快,當Emotet上傳了惡意Payload之后,它們便在不到一個小時的時間里全部被替換掉了。除此之外研究人員還發現,在某些情況下,攻擊者的行動速度更加快的驚人,他們竟然可以在不到兩分鐘內的時間里就更換了惡意軟件Payload。
實際上,Emotet背后的攻擊者一直都在使用Webshell來管理和維護其分發網絡。因此,目前最合理的解釋就是,有人獲取到了Emotet的管理密碼,并決定利用這個優勢來對Emotet進行攻擊。
Kevin Beaumont在2019年12月底曾通過發表推文表示,Emotet背后的攻擊者使用了一款開源的Webshell來實現對分發網站的管理和控制,并循環生成訪問密碼,因為這樣就不必再為修改密碼而煩惱了。但是現在,研究人員相信是有人在Emotet分發站點上獲取到了Webshell的密碼,并決定以編程的方式替換了站點上原有的惡意Payload。
但是,Roosen還指出,Emotet可能還有其他方法來傳播和投放其惡意Payload,并且可以想辦法重新獲取并訪問他們用來傳播惡意軟件的網站。
如果Emotet背后的攻擊者仍然能夠控制網站托管的硬件設備,那么他們就可以使用不同的密碼來部署新的Webshell,并重新拿回Emotet分發網絡的控制權。但是,Emotet所使用的服務器很可能是從其他執行流量重定向攻擊的網絡犯罪分子手上買過來的,而這些重定向攻擊活動可以通過釣魚網站或合法網站中的廣告以
及虛假促銷來吸引用戶,并想辦法將用戶騙入各種欺詐活動之中。
在本文發稿之時,Emotet站點上一些被替換的內容已經被重定向至其他資源了。
