Xakep #305. Многошаговые SQL-инъекции
Правоохранители из Франции, Японии и Новой Зеландии предупреждают, что за последнюю неделю резко возросло количество атак Emotet, нацеленных на их страны. Дело в том, что количество спамерских писем, исходящих от инфраструктуры Emotet и нацеленных на компании и государственные учреждения в этих трех странах, действительно существенно увеличилось.
Джозеф Розен, один из энтузиастов из группы Cryptolaemus, в которую входят более 20 ИБ-специалистов со всего мира, еще в 2018 году объединившихся ради общей цели: борьбы с малварью Emotet, подтвердил изданию ZDNet, что атаки на вышеупомянутые страны действительно участились.
Роузен рассказал, что операторы Emotet стали активно атаковать Новую Зеландию и большинство вредоносных писем исходят от E3 (одного из трех мини-ботнетов, входящих в инфраструктуру Emotet). При этом все три ботнета (E1, E2 и E3) также атаковали Японию. По данным местного CERT, из-за этих волн спама количество обнаружений Emotet в стране утроилось.
Хотя количество атак, пришедшихся на Францию, было значительно меньше, там Emotet сумел заразить компьютеры парижской судебной системы, попал в заголовки СМИ и вызвал немалый переполох, итогом которого и стало выпущенное властями предупреждение. Кроме того, теперь Министерство внутренних дел Франции блокирует доставку любых документов Office (.doc) по электронной почте.
Судя по сообщениям властей, атаки во всех трех странах происходили по одному и тому же сценарию. Операторы Emotet заражали одну жертву, а затем похищали принадлежащие ей старые цепочки писем. Хакеры возобновляли эти старые разговоры, добавляя к ним вредоносные вложения (обычно файлы .doc и защищенные паролем архивы ZIP) и атакуя других пользователей, которые, как правило, открывали файлы из простого любопытства.