Emotet - 資安趨勢部落格

專售電腦存取權限, Emotet 殭屍網路死灰復燃

2022 年 06 月 08 日2022 年 06 月 02 日趨勢科技 TrendMicro

趨勢科技在 2022 年第 1 季發現大量感染 Emotet 最新變種的案例，這些變種結合了新、舊技巧來誘騙受害者點選惡意連結並啟用巨集內容。

Emotet 殭屍網路是資安界非常知名的惡意程式，因為它擅長利用垃圾郵件來進入受害電腦，然後將受害電腦的存取權限包裝成服務來販賣，這就是它最有名的惡意程式服務 (Malware-as-a-Service，簡稱 MaaS)。一些其他知名惡意程式，如 Trickbot 木馬程式、Ryuk 和 Conti 勒索病毒在過去都曾經在攻擊時用到此類服務。

2021 年 1 月傳來了Emotet 集團遭破獲的好消息，這是由加拿大、法國、德國、立陶宛、荷蘭、烏克蘭、英國、美國等多國執法機關共同合作的「Operation Ladybird」瓢蟲行動，這起行動關閉了 Emotet 的基礎架構。但事實證明，這個殭屍網路生命力堅強，在當年的 11 月便死灰復燃。根據 AdvIntel 研究人員指出，他們之所以能夠東山再起，有很大原因是 Conti 駭客集團非常希望能跟 Emotet 繼續合作，因為殭屍網路對於勒索病毒集團突破企業防線扮演著不可或缺的角色。

在 2022 年第 1 季期間，趨勢科技發現有許多地區 (圖 1) 和各種不同產業 (圖 2) 感染了大量的 Emotet 最新變種。根據我們的監測資料，絕大部分的感染案例都集中在日本，其次是亞太地區以及歐洲、中東與非洲 (EMEA) 地區。這很可能是 Emotet 駭客集團為了吸引其他駭客使用他們的 MaaS 服務而針對一些獲利較高的產業發動攻擊，例如製造業與教育產業。

繼續閱讀

430萬筆帳號被入侵的 Emotet 殭屍網路被瓦解後

2021 年 03 月 16 日2021 年 04 月 29 日趨勢科技 TrendMicro

年初歐洲刑警組織與8國警方合作拿下Emotet殭屍網路,2021對網路安全界來說有個好的開始，一次全球性的協力行動（Operation Ladybird）瓦解了這個被媒體形容為全球散播最廣、「最會裝」的木馬。它的相關事蹟有:
-偽裝成前 CIA 職員愛德華·史諾登的回憶錄再出擊
–以Windows更新作為誘餌
–散播Nozelesn勒索病毒載入程式
–在全球建立了721個非重複的 C&C 伺服器

趨勢科技作為從2014年第一個偵測並持續分析該木馬程式的資安廠商，我們特別高興能夠看到這個結果。並持續盡己所能地支援打擊網路犯罪執法部門的工作。

但誰也沒有把握這會不會是Emotet上新聞版面的最終回。

繼續閱讀

銀行木馬Emotet 再進化, 新增 Wi-Fi 散播能力

2020 年 02 月 24 日2020 年 02 月 18 日趨勢科技 TrendMicro

一種新的 Emotet 病毒變種被發現透過無線網路連線來散播，這點與過往不同，這個惡名昭彰的銀行木馬一般是利用垃圾郵件活動作為散播的管道。研究員表示，這種新的載入器類型能利用 wlanAPI 介面，將病毒從遭感染的裝置散播到未加密的 Wi-Fi 網路。

2014 年，趨勢科技偵測到 Emotet，病毒碼為 TrojanSpy.Win32.EMOTET.THIBEAI。它最初是一種金融服務惡意軟體，透過感染電腦來竊取敏感資訊，過去一直是以垃圾郵件活動為管道，並利用當時的新聞 (例如武漢肺炎-新型冠狀病毒) 和特殊事件 (例如感恩節) 作為誘餌。感染的情況若嚴重，可能導致整個 IT 網路停擺。近來，Emotet 也會利用新聞報導內文讓惡意軟體迴避偵測。

[請參閱：深入了解 Emotet：多層運作機制]

Emotet 如何透過 Wi-Fi 散播?

繼續閱讀

惡名昭彰 Emotet 銀行木馬,偽裝成前 CIA 職員愛德華·史諾登的回憶錄再出擊

2019 年 10 月 03 日2019 年 10 月 03 日趨勢科技 TrendMicro

Emotet銀行木馬（趨勢科技偵測為TrojanSpy.Win32.EMOTET.THIBEAI）最近又再次浮出水面，而且還利用了前美國中央情報局職員愛德華·史諾登（Edward Snowden, 前美國中央情報局職員，美國國家安全局外包技術員）的熱門回憶錄來快速地擴大戰線。

這波攻擊背後的惡意份子會寄送與該回憶錄同名的 Word 附件「Permanent Record ( 永久檔案）」，誘騙受害者打開夾帶Emotet病毒的惡意文件。

根據安全研究人員的說法，一旦受害者開啟文件，就會跳出假訊息來要求啟用Microsoft Word。點擊啟用按鈕後，惡意巨集就會在背景執行。接著它會觸發一個PowerShell命令來連上一個被入侵的WordPress網站。再將Emotet及其他惡意軟體（如Trickbot）下載到受害者的電腦上，同時連到命令與控制（C&C）伺服器。

Emotet銀行惡意軟體，會監聽網路活動竊取資料

在2014年，趨勢科技發現Emotet是種銀行惡意軟體，它會監聽網路活動來竊取資料。它已經演進了好幾年。Emotet會利用自己的垃圾郵件模組來散播到全世界不同的產業和地區，並且還會利用沙箱及分析躲避技術。

繼續閱讀

起死回生的Emotet銀行木馬程式,在全球建立了721個非重複的 C&C 伺服器

2018 年 11 月 28 日2018 年 12 月 27 日趨勢科技 TrendMicro

曾由趨勢科技在 2014 年所發現的「Emotet」銀行木馬程式，去年已經正起死回生，並推出自家的垃圾郵件模組來散布該程式，開始攻擊一些新的產業和地區，甚至能躲避沙盒模擬與惡意程式分析技巧。今年，我們進一步分析了 Emotet 的活動來了解這個模組化惡意程式的惡意行為。我們針對 Emotet 的相關威脅樣本進行了一番徹底的研究，包括 2018 年 6 月 1 日至 11 月 15 日這段期間所蒐集到的相關威脅樣本：8,528 個非重複網址、5,849 個文件植入程式以及 571 個執行檔，並發現了 Emotet 的幕後基礎架構以及可能的犯罪集團資訊。

》延伸閱讀: 假冒銀行轉帳通知耍詐!!銀行惡意軟體會利用網路監聽來竊取資料

以下是幾項重要的研發現：

至少有兩組並行的基礎架構在背後支撐 Emotet 的殭屍網路
當我們將該惡意程式的幕後操縱 (C&C) 伺服器和 RSA 金鑰進行分類之後就能清出看出兩組不同的基礎架構。此外我們也發現歹徒每個月都換更換一次 RSA 金鑰。而不同基礎架構所推送的下一階段惡意程式在用途和攻擊目標上並無重大差異，因此分開兩組基礎架構的用意應該只是為了讓 Emotet 更不容易被追查，同時也提供容錯備援的能力。
Emotet 的相關樣本可能是經由多個分層負責的不同單位所製作
從活動模式不一致的情況可以看出，負責製作及散布文件植入程式的幕後單位，似乎與負責壓縮及部署 Emotet 執行檔的單位不同。文件植入程式在非上班時間 (UTC 時間凌晨 1:00 至 6:00) 會停止製作。此時很可能有三組不同的電腦正在壓縮及部署 Emotet 的執行檔，其中兩組的系統時區可能分別設定在 UTC +0 以及 UTC +7。
Emotet 惡意程式的作者很可能住在 UTC+10 或者更往東邊一點的時區內
當我們根據每個執行檔樣本所解壓縮出來的惡意程式組譯時間戳記來將這些執行檔分類時，我們可歸納出兩個樣本群組，其組譯時間戳記與惡意程式首次在外發現的時間一致。這原因很可能是組譯時間戳記使用的是惡意程式作者的電腦當地時間。如果這些當地時間正確無誤的話，那就可推論出惡意程式作者很可能住在 UTC +10 或更往東邊一點的時區內。

繼續閱讀