В национальном сегменте сети Интернет выявлена вторая волна активности заражения трояном Emotet. Ранее мы уже писали в новостях про Emotet: Атака банкеров и Атака банкеров. Часть 2.
Троян Emotet, предлагающий услугу транспортировки, в том числе и другим семействам вредоносного программного обеспечения, уже не один год повышает риски коммуникации в киберпространстве. В июле 2020 года вновь отмечена активность зловреда, которая больше направлена на перенос вредоносного программного обеспечения, нежели в виде банковского трояна.
ВПО Emotet, как правило, распространяется через документы вложенные в электронные письма, и использует переписку, обнаруженную на уже скомпрометированных учетных записях. Электронные письма могут быть присланы:
- от имени партнера по бизнесу (в том числе и значимых мировых компаний);
- от имени знакомого человека;
- в виде спам-рассылки содержащей краткое сообщение с вложением или ссылкой на скачивание, которые выглядят как обычные бухгалтерские отчёты, уведомления о доставке или различные финансовые документы;
- от имени антивирусных программ с вложением типа новейших сигнатур.
В этой ситуации сотрудники, как правило, являются самым слабым звеном в цепочке информационной безопасности. Поэтому очень важно научить их распознавать фишинговые письма, которые могут содержать различные ВПО. Открытие полученных вложений способно привести к реализации различных видов кибер-мошенничества, включая заражение сети всей организации.
Троян чаще всего прикрепляется в виде документов Office, конфигурации которых содержат инструменты для выполнения различных функций. Некоторые узкоспециализированные модули предназначены для компрометации электронной почты, в то время как другие сосредоточены на краже аутентификационных данных, хранящихся в браузере, одни позволяют осуществлять DDoS, а другие могут распространять вирусы-вымогатели.
Ниже перечислены выявленные CERT.BY признаки распространения и заражения трояном Emotet:
Адреса-отправители:
- manzimonate@oaks.co.za
- yaghoutian@atateb-novin.ir
- acoste@inespre.gob.do
- info@primegeoconsult.ae
- payment.mohali@magnusfm.in
Ссылки, содержащиеся в рассылаемых электронных письмах:
- http[:]//hesa.co.id/244344-5afaxlSlRW-module/lm/ovgx1y8cydht-1915/
- http[:]//arkestate.al/obasr/docs/lHVxBMgs/
- http[:]//wto.formstack.com/forms/pef_blr171
Хеш рассылаемых Office-файлов:
- 927cebea7040f6ee979e6e51c547842f
- fcab4279db965fdf4e4d2972c86ffc48
- 940344fdf74e8759cd926719cf6aeb53
- 227d2bc3bb0b0099d285356b5db3d344
- 45b005eaaa59891233f645da38480a67
- 8580c9ce647bfee3853d85619bbd72b3
- 85cbd6790bedf2dacfa7ea3e73262581
- 85cbd6790bedf2dacfa7ea3e73262581
- 8e04616afb5d7ff3877dd7b12e980b86
- 4f0233fce715c44700ad1e0b66db0a9e
- a40327370c902ee1c0d1eabc3311d0ac
- 8580c9ce647bfee3853d85619bbd72b3
Обращение на командные центры:
- http[:]//104.131.11.150:443
- http[:]//109.116.214.124:443
- http[:]//153.163.83.106
- http[:]//162.249.220.190
- http[:]//174.102.48.180
- http[:]//174.137.65.18
- http[:]//181.230.116.163
- http[:]//185.94.252.104:443
- http[:]//189.212.199.126:443
- http[:]//190.160.53.126
- http[:]//190.55.181.54:443
- http[:]//24.233.112.152
- http[:]//24.43.99.75
- http[:]//37.70.8.161
- http[:]//64.183.73.122
- http[:]//68.44.137.144:443
- http[:]//70.121.172.89
- http[:]//74.120.55.163
- http[:]//85.152.162.105
- http[:]//89.186.91.200:443
- http[:]//97.82.79.83
Дополнительная информация по признакам распространения и заражения доступна по адресу:
https://pastebin.com/PDFdAyue
Во избежание заражения следует быть очень осторожным при получении письма с вложением даже от знакомого человека. Если есть малейшие сомнения относительно содержания или вложения электронного письма, рекомендуем связаться с отправителем по телефону или по альтернативному каналу и уточнить необходимые детали сообщения, в противном случае необходимо обратится в службу обеспечения информационной безопасности организации.
