Emotet: Dünyanın En Tehlikeli Kötü Amaçlı Yazılımının Geri Dönüşü

Emotet: Dünyanın En Tehlikeli Kötü Amaçlı Yazılımının Geri Dönüşü

Yeni tehdit brifing raporumuzda, Forescout’un Vedere Laboratuvarları bir Emotet örneğini analiz etmiş, analizden çıkarılan IoC’lerin bir listesini sunarak ve azaltmayı tartıştığımız çözümler önermiştik.

Emotet, hem bir siber suç grubunun hem de dağıttığı kötü amaçlı yazılım yükleyicinin adıdır. Grup ayrıca MUMMY SPIDER olarak bilinirken, kötü amaçlı yazılım Geodo veya Heodo olarak da bilinir. CISA’ya göre, Emotet, özel ve kamu sektörlerine karşı kullanılan en maliyetli ve yıkıcı kötü amaçlı yazılımlar arasında yer alıyor ve bireysel olayların düzeltilmesi 1 milyon dolara kadar çıkıyor. Europol’e göre, Emotet dünyanın en tehlikeli kötü amaçlı yazılımıdır.

Kötü amaçlı yazılım, genellikle makbuzlar ve faturalar gibi finansal bir teması olan veya vergi mevsimi dolandırıcılığı ve mülteciler için bağış talepleri gibi güncel olayları takip eden kötü niyetli e-postalar aracılığıyla yayılır. Bulaşma, kurban, e-postaya eklenmiş, kötü amaçlı makrolar içeren ve ardından kötü amaçlı yazılım indiricisini çalıştıran bir belge açtığında gerçekleşir. İndirdikten sonra, Emotet virüslü makinede kalmaya devam eder, talimatları almak için bir C2 sunucusuyla iletişim kurar ve yerel ağda yayılmaya çalışır.

Emotet, 2014 yılında kimlik bilgilerini çalmak için kullanılan bir bankacılık truva atı olarak başladı, ancak birkaç mutasyon ve ek DLL modülleri yoluyla gelişti ve TrickBot veya IcedID gibi diğer kötü amaçlı yazılımları ve Ryuk gibi fidye yazılımlarını sunabilen bir botnet haline geldi. Bu yetenek o kadar önemlidir ki, Emotet genellikle ilk erişim ve kötü amaçlı yazılım dağıtımı için “hizmet olarak altyapı” şeklinde kabul edilir.

Botnet, Ocak 2021’de polis müdahalesiyle kaldırıldı, ancak tehdit aktörü altyapısını yeniden inşa etti ve Kasım 2021’de geri döndü. Emotet, Ocak ayı civarında daha fazla bot eklemeye başladı ve sayı giderek artıyor. Polis müdahalesinden önceki zirvesindeyken, Emotet milyonlarca cihaza bulaştı. Yeniden canlanmasından bu yana, hedef spam göndererek kötü amaçlı yazılımı yayan, hedeflenen kuruluşlarda yanal hareket için kullanılabilecek veya proxy C2 sunucularına terfi ettirilebilecek yaklaşık 130.000 bot var. Emotet enfeksiyonlarının sayısı Mart 2022’de bir önceki aya göre üç katına çıktı.

Forescout, kuruluşların riskleri azaltmak için aşağıdaki adımları kullanmasını önerir:

  • Malspam yoluyla ilk bulaşmayı önlemek için kimlik avı önleme eğitimini zorunlu kılın
  • Mümkün olduğunda makro yürütmeyi devre dışı bırakın
  • Teknik raporda ayrıntılı olarak açıklandığı gibi uç noktalarda regsvr32 süreçlerinin kullanımını izleyin
  • Ağ algılama ve tehdit avlama araçlarında teknik raporda paylaşılan IoC’leri devreye alın

 

 

Yorum yok

Yorum yaz

Yorum
İsim
E-Mail
Website

Inforte Bilişim A.Ş. tarafından işbu form ile elde edilen kişisel verileriniz esas olarak iş süreçlerimizin iyileştirilmesine yönelik çalışmaların yürütülmesi amacıyla işlenebilecek ve yurt dışında yerleşik hosting firmamıza aktarılabilecektir. Mevzuat kapsamındaki haklarınız ile ilgili diğer detaylara ilişkin aydınlatma metnine buradan erişebilirsiniz.