新报告揭秘Emotet，在最近的攻击中使用的传递和规避技术

根据VMware的最新研究，与臭名昭著的Emotet恶意软件有关的威胁行为体正在不断改变战术和指挥控制（C2）基础设施，以逃避检测。

Emotet是一名被追踪为木乃伊蜘蛛（又名TA542）的威胁演员的作品，2014年6月作为一个银行木马出现，2016年转变为一个通用加载程序，能够交付勒索软件等第二阶段有效载荷。

虽然僵尸网络的基础设施在2021 1月份的一次协调执法行动中被拆除，但Emotet在2021 11月份通过另一种称为TrickBot的恶意软件反弹。

Emotet的复活由现已解散的Conti团队策划，此后为Cobalt Strike感染以及最近涉及Quantum和BlackCat的勒索软件攻击铺平了道路。

VMware威胁分析单元（TAU）的研究人员在与《黑客新闻》分享的一份报告中表示：“Emotet执行链的不断调整是恶意软件成功这么久的原因之一”。

表情符号攻击流的特点还在于使用不同的攻击向量，试图在较长时间内保持隐蔽。

这些入侵通常依赖于发送带有恶意软件的文档或嵌入URL的垃圾邮件，当打开或单击这些邮件时，会导致恶意软件的部署。

仅在2022年1月，VMware就表示，它观察到三组不同的攻击，其中Emotet有效载荷是通过Excel 4.0（XL4）宏、PowerShell的XL4宏和PowerShell中的Visual Basic应用程序（VBA）宏传递的。

其中一些感染生命周期还因滥用名为mshta的合法可执行文件而引人注目。exe启动恶意HTA文件，然后删除Emotet恶意软件。

研究人员表示：“像mshta和PowerShell这样的工具，有时被称为生活在陆地上的二进制文件（LOLBINs），在威胁行为体中非常受欢迎，因为它们由微软签署，并受到Windows的信任”。

“这使得攻击者可以执行混乱的代理攻击，在这种攻击中，合法工具被欺骗而执行恶意操作”。

对近25000个独特的Emotet DLL工件的进一步分析表明，其中26.7%被Excel文档丢弃。已经确定了多达139个不同的程序链。

Emotet的重新出现还标志着C2基础设施的改变，威胁行为体运营着两个新的僵尸网络集群，分别称为Epochs 4和Epoch 5。在被击落之前，Emotet运行在三个独立的僵尸网之上，分别称之为Epoch 1、2和3。

除此之外，2022年3月15日至2022年6月18日期间，在野外检测到10235个Emotet有效载荷，重复使用了属于大纪元5的C2服务器。

除了对执行链和C2 IP地址的更改，Emotet还发布了两个新插件，一个用于从Google Chrome浏览器捕获信用卡数据，另一个使用SMB协议进行横向移动的扩展器模块。

其他重要组件包括垃圾邮件模块和用于Microsoft Outlook和Thunderbird电子邮件客户端的帐户窃取器。

用于托管服务器的大多数IP地址位于美国、德国和法国。相比之下，大多数表情包模块都在印度、韩国、泰国、加纳、法国和新加坡举办。

为了防止像Emotet这样的威胁，建议实施网络分段，实施零信任模型，并替换默认的身份验证机制，以支持更强的替代方案。