Xakep #305. Многошаговые SQL-инъекции
В январе текущего года Европол, ФБР и правоохранительные органы многих стран мира, включая Канаду, Нидерланды, Францию, Германию, Литву, Великобританию и Украину, провели масштабную скоординированную операцию по ликвидации ботнета Emotet, подготовка к которой длилась два года.
Тогда правоохранителям удалось захватить контроль над инфраструктурой Emotet, нарушив ее работу. В итоге преступники лишились возможности использовать взломанные машины, а малварь прекратила распространяться на новые цели.
Более того, правоохранители использовали свой доступ к управляющим серверам Emotet, которые оказались под контролем Федерального ведомства уголовной полиции Германии (Bundeskriminalamt), для развертывания специального обновления на всех зараженных хостах. Специальный модуль для Emotet, созданный специалистами Bundeskriminalamt, был распространен на все зараженные системы в виде 32-разрядного файла EmotetLoader.dll. Это обновление содержало «бомбу замедленного действия»: весной текущего года механизм, который привел к удалению Emotet со всех зараженных машин. Фактически, ботнет был уничтожен.
«На протяжении долгого времени Emotet был нашей угрозой номер один, и его устранение будет иметь большое значение. Emotet участвует в 30% всех атак вредоносного ПО, так что его успешная ликвидация окажет большое влияние на всю криминальную среду, — говорил тогда руководитель операций Европейского центра по борьбе с киберпреступностью Фурнандо Руис (Fernando Ruiz). — Мы ликвидировали один из основных дропперов на рынке, и теперь наверняка возникнет пробел, который попытаются заполнить другие преступники. Но на некоторое время [наша операция] окажет положительное влияние на кибербезопасность».
Теперь, спустя десять месяцев после операции по ликвидации ботнета, исследователи вновь обнаружили активность малвари. В минувшие выходные ИБ-исследователь Лука Эбах сообщил, что другой ботнет, TrickBot, помогает операторам Emotet встать на ноги, устанавливая малварь Emotet в системы, уже зараженные самим TrickBot.
Один из энтузиастов из группы Cryptolaemus, в которую входят более 20 ИБ-специалистов со всего мира, еще в 2018 году объединившихся ради общей цели — борьбы с малварью Emotet, сообщил изданию The Record, что в прошлом, когда еще Emotet распространял Trickbot, а не наоборот, эту активность называли ReachAround. По сути, это означает, что Emotet перестраивается с использованием существующей инфраструктуры TrickBot.
«Они уже делали так раньше, и мы знали, что для них это может стать способом вернуться», — говорит эксперт.
Напомню, что исследователи Cryptolaemus сыграли решающую роль в отслеживании ботнета и активно помогали правоохранительным органам в уничтожении Emotet. В этой связи интересен тот факт, новые версии Emotet появились практически одновременно с трехлетним юбилеем Cryptolaemus в Twitter, хотя неясно, была ли это случайность, или операторы Emotet действительно передали исследователям своеобразный «привет».
This is our 3rd anniversary of Cryptolaemus1. Thanks for all the follows and sharing of intel these past 3 years! To celebrate, Ivan has released a new version of Emotet because he feels left out and wants to be part of the party. More details coming soon. As always watch URLHaus pic.twitter.com/Qwvel32ibB
— Cryptolaemus (@Cryptolaemus1) November 15, 2021
На скриншоте ниже, предоставленном СМИ членом Cryptolaemus, Abuse.ch, показан период бездействия Emotet (с января по ноябрь 2021 года), а также момент, когда хакеры развернули новые управляющие серверы.
По данным Cryptolaemus, пока операторы Emotet действуют не как обычно, то есть не рассылают спам по электронной почте. Вместо этого они полагаются на помощь группировки TrickBot, которая помогает им восстановить «фундамент» ботнета, прежде чем тот снова перейдет к спам-кампаниям.
Исследователи отмечают, что Emotet будет сложно достичь прежних размеров в ближайшие месяцы, однако малварь остается очень сложной и эффективной угрозой, которую нельзя игнорировать. Новая инфраструктура Emotet растет достаточно быстро: более 246 зараженных устройств уже действуют как C&C-серверы.
«Мы настоятельно рекомендуем вам блокировать эти управляющие серверы и регулярно обновлять свой черный список для получения максимальной защиты», — предупреждает Abuse.ch в Twitter.
История Emotet
Emotet появился еще в 2014 году, но лишь в последние годы стал одной из наиболее активных угроз среди вредоносных программ.
Малварь распространялась преимущественно с почтовым спамом, через вредоносные документы Word, Excel и так далее. Такие письма могли маскироваться под инвойсы, накладные, предупреждения о безопасности аккаунта, приглашения на вечеринку или под информацию о распространении коронавируса. Словом, хакеры внимательно следили за мировыми трендами и постоянно совершенствовали письма-приманки.
Хотя когда-то Emotet начинал свой пусть как классический банковский троян, но в итоге угроза сильно видоизменилась, превратившись в мощный загрузчик с множеством модулей, а ее операторы стали активно сотрудничать с другим преступными группами.
Проникнув в систему жертвы, Emotet использовал зараженную машину для дальнейшей рассылки спама, а также устанавливал на устройство самую разную дополнительную малварь. Зачастую это были банкеры, такие как TrickBot, майнеры, инфостилеры, а также шифровальщики вроде Ryuk, Conti, ProLock.
Европол называл Emotet «наиболее опасными вредоносным ПО в мире», а также «одним из самых выдающихся ботнетов последнего десятилетия».