臭名昭著的Emotet僵尸网络借助TrickBot恶意软件卷土重来

臭名昭著的Eytht恶意软件在一个协调的执法行动在2021年1月下旬拆除其指挥和控制基础设施后，在近10个月内重演。

According to a new report from security researcher Luca Ebach, the infamous TrickBot malware is being used as an entry point to distribute what appears to be a new version of Emotet on systems previously infected by the former. The latest variant takes the form of a DLL file, with the first occurrence of the deployment being detected on November 14.

欧洲刑警组织将Emotet称为“世界上最危险的恶意软件”，因为它能够充当威胁行为体获得未经授权访问的“开门器”，成为许多关键数据盗窃和勒索软件攻击的前兆。有趣的是，加载器操作使Trickbot、QakBot和Ryuk等其他恶意软件家族能够进入机器。

此次重新露面也意义重大，尤其是因为执法部门在4月份采取一致行动，从受损的计算机上自动卸载恶意软件。

截至撰写本文时，恶意软件追踪研究项目被滥用。ch的Feodo Tracker显示了目前在线的九个Emotet命令和控制服务器，这意味着运营商正试图恢复僵尸网络并使其重新运行。

新的Emotet加载程序的示例可以在这里访问。为了防止设备被加入新激活的Emotet僵尸网络，强烈建议网络管理员屏蔽所有相关的IP地址。

更新：在不到24小时的时间里，Emotet僵尸网络将其僵尸网络指挥与控制（C2）基础设施从9台主动C2服务器扩展到14台主动C2服务器。“很明显，Emotet正在启动其活动，”他说。他在推特上说。

Emotet活动的增加还伴随着恶意垃圾邮件活动的激增，选择感染链直接使用连接到被盗电子邮件线程的启用宏的Word和Excel文档丢弃加载程序，而不依赖TrickBot。

安全研究员凯文·博蒙特（Kevin Beaumont）在推特上写道：“Emotet（Emotet）回来了，并重新安装了。代码和基础设施已经更新，现在安全性更好了。它必须是有权访问原始源代码的人。”。