Cofense บริษัทรักษาความปลอดภัยทางไซเบอร์ และกลุ่ม Emotet-tracking Cryptolaemus ได้แจ้งเตือนการกลับมาอีกครั้งของ Emotet หลังจากหายไปนานกว่า 3 เดือน
Emotet เป็นมัลแวร์ที่แพร่กระจายผ่านทางอีเมลที่แนบไฟล์ Microsoft Word และ Excel ที่เป็นอันตราย เมื่อเป้าหมายเปิดเอกสารเหล่านี้ก็จะทำการเรียกใช้งานมาโครที่เป็นอันตราย โดย Emotet DLL จะถูกดาวน์โหลดลงในหน่วยความจำ หลังจากนั้นก็จะทำการหยุดการทำงาน และรอคำสั่งจาก command and control (C2) server โดย Emotet มีความสามารถในการขโมยข้อมูลบนเครื่องเป้าหมาย รวมไปถึงเรียกใช้เพย์โหลดเพิ่มเติม เช่น Cobalt Strike หรือ Ransomware รวมถึงยังเป็นมัลแวร์ที่มีการแพร่กระจายมากที่สุดในอดีต แต่กลับหายไปเรื่อย ๆ ครั้งสุดท้ายที่พบคือในเดือนพฤศจิกายน 2022 เพียงสองสัปดาห์เท่านั้น
การกลับมาในปี 2023 ของ Emotet
โดย Cofense และกลุ่ม Emotet-tracking Cryptolaemus ได้พบเห็นการโจมตีจาก Emotet โดยพบการส่ง spam mail ในรูปแบบ Red Dawn template ที่มีขนาดใหญ่มากกว่า 500MB ซึ่งประกอบไปด้วย payload URL และ macro อันตราย ซึ่งถูกส่งมาในชื่อเอกสารใบแจ้งหนี้
สิ่งที่แนบมาด้วยกับ spam mail คือ ไฟล์ ZIP ที่มีเอกสาร Word ที่มีขนาดเกิน 500 MB เพื่อหลบเลี่ยงการตรวจจับจากแอนตี้ไวรัส โดย Microsoft Word เหล่านี้จะใช้ Red Dawn template เพื่อทำให้ดูปกติเมื่อเป้าหมายทำการเปิดเอกสาร แต่ความจริงแล้วเอกสารเหล่านี้กลับเต็มไปด้วย Macro ที่เป็นอันตราย ที่จะทำการดาวน์โหลด Emotet loader ที่เป็น .DLL จากเว็บไซต์ WordPress ที่ถูกโจมตี
หลังจากทำดาวน์โหลด Emotet loader มายังเครื่องเป้าหมายแล้ว ก็จะทำการบันทึกใน folder ที่มีการสุ่มอยู่ใน %LocalAppData% ซึ่งเปิดใช้งานด้วย regsvr32.exe รวมถึงไฟล์เอกสาร Emotet .DLL
หลังจากที่ทำการติดตั้งบนเครื่องเป้าหมายเสร็จสิ้น Emotet ก็จะทำการหยุดกระบวนการทำงาน เพื่อรอคำสั่งจาก C2 Server เพื่อทำการติดตั้งเพย์โหลดอันตรายเพิ่มเติม เช่น การสั่งรันโค้ดที่เป็นอันตราย รวมไปถึงการแพร่กระจาย Ransomware ในเครือข่ายของเป้าหมาย
แม้จะเริ่มพบ Emotet กลับมาโจมตีอีกครั้ง แต่วิธีการที่ใช้ในการโจมตีอาจจะไม่ประสบความสำเร็จเท่าที่ควร เนื่องจาก Microsoft ได้ทำการปิดการใช้งาน Macro เป็นค่าเริ่มต้นตั้งแต่เดือนกรกฎาคม 2022 จึงทำให้เมื่อทำการเปิดเอกสารที่ฝัง macro ก็จะมีข้อความแจ้งเตือนว่า “macro ถูกปิดการใช้งานเนื่องจากแหล่งที่มาของไฟล์ไม่น่าเชื่อถือ” ทำให้คาดว่าหลังจากนี้ Emotet คงจะเริ่มทำการปรับเปลี่ยนการโจมตีโดยใช้ ISO images, JS files และ Microsoft OneNote เช่นเดียวกับ Hacker กลุ่มอื่นๆ
ที่มา : bleepingcomputer
You must be logged in to post a comment.