Juste à temps pour les vacances, le célèbre malware Emotet installe à nouveau directement des balises Cobalt Strike pour des cyberattaques rapides.
Pour ceux qui ne connaissent pas Emotet, il est considéré comme l’une des infections de logiciels malveillants les plus répandues et est distribué via des e-mails de phishing contenant des pièces jointes malveillantes.
Historiquement, une fois qu’un appareil est infecté, Emotet vole l’e-mail d’une victime à utiliser dans de futures campagnes, puis supprime les charges utiles de logiciels malveillants, tels que TrickBot et Qbot.
Cependant, plus tôt ce mois-ci, Emotet a commencé à tester l’installation de balises Cobalt Strike sur des appareils infectés au lieu de leurs charges utiles habituelles.
Cobalt Strike est un outil de test d’intrusion légitime que les acteurs malveillants utilisent couramment pour se propager latéralement dans une organisation et finalement déployer un ransomware sur un réseau.
Ce test a été bref et les acteurs de la menace ont rapidement recommencé à distribuer leurs charges utiles typiques.
Emotet reprend les installations de Cobalt Strike
La semaine dernière, les acteurs de la menace Emotet ont suspendu leurs campagnes de phishing, et depuis lors, les chercheurs n’ont vu aucune autre activité du groupe.
« Le spam s’est arrêté la semaine dernière jeudi, et depuis lors, ils sont restés silencieux avec très peu de RIEN jusqu’à aujourd’hui. » Joseph Roosen du groupe Cryptolaemus Emotet a déclaré à EZpublish-france.fr.
Cependant, Cryptolaemus avertit maintenant qu’à partir d’aujourd’hui, les acteurs de la menace ont de nouveau commencé à installer des balises Cobalt Strike sur des appareils déjà infectés par Emotet.
#Emotet Mise à jour E5. Nous observons la chute de CS Beacons au cours des dernières minutes avec le C2 suivant s://koltary[.]com/jquery-3.3.1.min.js. Le filigrane est à nouveau un « 0 ». On dirait que quelqu’un a finalement dégrisé et a décidé de faire quelque chose avec le nouveau botnet. 1 fois
– Cryptolaemus (@Cryptolaemus1) 15 décembre 2021
Roosen a déclaré à EZpublish-france.fr qu’Emotet télécharge maintenant les modules Cobalt Strike directement à partir de son serveur de commande et de contrôle, puis les exécute sur l’appareil infecté.
Avec les balises Cobalt Strike directement installées par Emotet, les acteurs malveillants qui les utilisent pour se propager latéralement sur un réseau, voler des fichiers et déployer des logiciels malveillants auront un accès immédiat aux réseaux compromis.
Cet accès accélérera la diffusion des attaques et, juste avant les vacances, il pourrait entraîner de nombreuses violations, car les entreprises disposent désormais d’un personnel limité pour surveiller et répondre aux attaques.
Communications C2 déguisées en jQuery
Dans un échantillon de la balise Cobalt Strike partagée avec EZpublish-france.fr, le logiciel malveillant communiquera avec les serveurs de commande et de contrôle de l’attaquant via un faux fichier « jquery-3.3.1.min.js ».
Chaque fois que le malware communiquera avec le C2, il tentera de télécharger le fichier jQuery, dont une variable sera modifiée avec de nouvelles instructions à chaque fois, comme le montre le texte en surbrillance dans l’image ci-dessous.
Comme la majeure partie du fichier est du code source jQuery légitime et que seul un certain contenu est modifié, il se fond dans le trafic légitime et facilite le contournement des logiciels de sécurité.
Le déploiement rapide de Cobalt Strike via Emotet est un développement important qui devrait être sur les radars de tous les administrateurs Windows et réseau et des professionnels de la sécurité.
Avec cette distribution accrue de balises sur des appareils déjà infectés, il est prévu que nous assisterons à une augmentation du nombre de violations d’entreprise et, finalement, d’attaques de ransomware juste avant ou pendant les vacances.