美国国土安全部(Department Of Homeland Security)网络安全部门周二表示,随着这种名为Emotet的恶意软件越来越多地针对州和地方政府,并用其他恶意软件感染他们,它已经成为“最普遍的持续威胁之一”。
Emotet于2014年首次被发现是一个相对简单的特洛伊木马程序,用于窃取银行账户凭据。在一两年内,它将自己重塑为一个强大的下载器或下载器,在感染个人电脑后,安装了其他恶意软件。Trickbot银行特洛伊木马和Ryuk勒索软件是两个更常见的后续攻击。在过去的一个月里,Emotet成功地深入魁北克司法部,并加大了对法国、日本和新西兰政府的打击力度。它还针对民主党全国委员会(Democratic National Committee)。
CISA(网络安全和基础设施安全局(Cybersecurity And Infrastructure Security Agency)的缩写)表示,不可忽视的是,美国州和地方政府也受到了不必要的关注。爱因斯坦-该机构的入侵检测系统,用于在联邦民用部门和机构之间收集、分析和共享安全信息-最近几周也注意到了大幅上升。在周二发布的一份公告中,官员们写道:
自2020年7月以来,CISA涉及Emotet相关指标的活动有所增加。在此期间,CISA的爱因斯坦入侵检测系统,保护联邦和民用行政部门网络,已经检测到大约1.6万个与Emotet活动有关的警报。CISA观察到Emotet在可能的有针对性的活动中分阶段执行。Emotet使用附加到网络钓鱼电子邮件的受攻击的Word文档(.doc)作为初始插入载体。可能的命令和控制网络流量涉及对统一资源标识符的HTTP POST请求,该统一资源标识符由无意义的随机长度字母顺序目录组成,指向具有以下用户代理字符串的已知Emotet相关域或IP(应用层协议:Web协议[T1071.001])。
Emotet的成功是一系列诀窍的结果,其中几个包括:
多态设计,这意味着它会不断更改其可识别的特征,因此很难检测到是恶意的。
“电子邮件线程劫持”,意味着它从一台受感染的机器上窃取电子邮件链,并使用欺骗的身份来回应,欺骗线程中的其他人打开恶意文件或单击恶意链接。
今年2月,Emotet突然停电,没有明确的理由这样做。然后在7月份,它同样很快就回来了。
从那时起,Emotet攻击者就一直在炮轰恶意垃圾邮件。根据周二发布的另一篇博客文章,安全公司Intezer表示,它也看到了大幅增长,其企业客户和社区用户分析的样本中有40%被归类为Emotet。
Intezer的研究人员写道:“在一个一切似乎都不可预测的世界里,似乎我们确实可以指望Emotet让我们保持警惕。”“这不应阻止我们在如何调整我们的方法以使其更容易识别这一威胁方面变得更具战略性。”