Исследователи предупреждают, что Emotet теперь напрямую устанавливает в зараженные системы маяки Cobalt Strike, обеспечивая немедленный доступ к сети для злоумышленников. Те могут использовать его для бокового перемещения, что значительно облегчит вымогательские атаки.
Напомню, что обычно Emotet устанавливает на машины жертв малварь TrickBot или Qbot, а та уже развертывает Cobalt Strike и выполняет другие вредоносные действия. Теперь же исследовательская группа Cryptolaemus предупредила, что Emotet пропускает этап установки TrickBot или Qbot и напрямую устанавливает маяки Cobalt Strike на зараженные устройства.
Cryptolaemus, это группа, в которую входят более 20 ИБ-специалистов со всего мира, еще в 2018 году объединившихся ради общей цели — борьбы с малварью Emotet.
??WARNING ?? We have confirmed that #Emotet is dropping CS Beacons on E5 Bots and we have observed the following as of 10:00EST/15:00UTC. The following beacon was dropped: https://t.co/imJDQTGqxV Note the traffic to lartmana[.]com. This is an active CS Teams Server. 1/x
— Cryptolaemus (@Cryptolaemus1) December 7, 2021
Эту информацию журналистам Bleeping Computer подтвердили и специалисты ИБ-компании Cofense.
«Некоторые зараженные компьютеры получили команду на установку Cobalt Strike, популярного инструмента постэксплуатации, — говорят эксперты. — Сам Emotet собирает ограниченный объем информации о зараженной машине, но Cobalt Strike можно использовать для оценки более широкой оценки сети или домена, ища подходящих жертв для дальнейшего заражения, например, программой-вымогателем.
Пока Cobalt Strike пытался связаться с доменом lartmana[.]com, а вскоре после этого Emotet удалял исполняемый файл Cobalt Strike».
Фактически, это означает, что теперь злоумышленники получают немедленный доступ к сети для бокового перемещения, кражи данных и быстрого развертывания вымогателей. Ожидается, что быстрое развертывание Cobalt Strike ускорит и развертывание программ-вымогателей в скомпрометированных сетях.
«Это очень серьезно. Обычно Emotet сбрасывает TrickBot или QakBot, которые, в свою очередь, сбрасывают CobaltStrike. В нормальной ситуации у вас есть около месяца между первым заражением и вымогательством. С Emotet, отбрасывающим CS напрямую, вероятно, эта задержка будет намного короче», — предупреждает ИБ-специалист Маркус Хатчинс у себя в Twitter.
Эксперты Cofense, в свою очередь, сообщают, что пока неясно, является ли происходящее тестом самих операторов Emotet, или это часть частью цепочки атак другой малвари, которая сотрудничает с ботнетом.
«Пока мы не знаем, намерены ли операторы Emotet собирать данные для собственного использования, или это часть цепочки атак, принадлежащих одному из других семейств вредоносных программ. Учитывая быстрое удаление, это могло быть испытание, или даже случайность», — резюмируют эксперты, обещая продолжать наблюдение и далее.