Një ‘Vigjilent’ Kibernetike po Saboton Kthimin e Emotet

Gjatë Black Hat USA 2020, Threatpost flet me Sherrod DeGrippo, me Proofpoint, në lidhje me kthimin e fundit të Emotet – dhe se si një vigjilent kibernetik po përpiqet të pengojë rikthimin e malware.

Trojan bankar Emotet është kthyer pas një ndërprerje pesë-mujore. Por, në një kthesë zbavitëse, një vigjilent kibernetik po pengon rikthimin e malware. Studiuesit thonë se një vigjilent misterioz po lufton aktorët e kërcënimit prapa rikthimit të malware duke zëvendësuar ngarkesat me qëllim të keq Emotet me GIF dhe meme të çuditshme.

“Emotet po gjen emrin e përdoruesit dhe fjalëkalimin e paracaktuar që instalon WordPress dhe po pret ngarkesën e tij atje. Ajo që po bën heroi ynë vigjilent është se ata do të gjejnë ato instalime të WordPress ku ka pritur ngarkesën e Emotet, “tha për Threatpost Sherrod DeGrippo, drejtori i lartë i kërkimit dhe zbulimit të kërcënimeve për Proofpoint. Pastaj, “Ata hyjnë me të njëjtin emër përdoruesi dhe fjalëkalimin që bëri Emotet, ata fshijnë një ngarkesë dhe vendosën një lidhje të nxehtë për GIPHY.”

Gjatë një interviste virtuale Black Hat USA 2020 këtë javë, DeGrippo flet me Threatpost për ringjalljen e Emotet dhe pse botnet po zgjeron partneritetin e tij me malware TrickBot për të përfshirë QakBot – si dhe infrastrukturën kritike, infrastrukturën zgjedhore dhe kërcënimet e mashtrimit të lidhura me “njerëzit”. që mund të prisni të diskutohet në Black Hat USA këtë javë.

Më poshtë gjeni një transkript të redaktuar lehtë të kësaj interviste.

Lindsey O’Donnell-Welch: Përshëndetje, të gjithë. Kjo është Lindsey O’Donnell Welch me post kërcënimi dhe mua sot më bashkon Sherrod DeGrippo. Sherrod është drejtori i lartë i kërkimit dhe zbulimit të kërcënimeve për Proofpoint dhe ajo drejton një ekip botëror për kërkimin e malware që heton kërcënime të avancuara duke përfshirë phishing, email dhe malware dhe gjithçka tjetër. Kështu që Sherrod, shumë faleminderit që u bashkove me mua sot.

Sherrod DeGrippo: Gëzohem që të shoh Lindsey, më vjen keq që nuk jemi personalisht.

 

LO: E di, shpresoj vitin e ardhshëm. Black Hat USA 2020 është këtë javë dhe një nga pjesët kryesore të shfaqjes është pista e malware. Dhe e di që këtë vit, ka një mori diskutimesh, trojanë me hyrje në distancë dhe malware që synojnë MacOS. Dhe ka një seancë vërtet interesante rreth Cobalt Strike që po përdoret nga një operacion APT org që synon shitësit e gjysmëpërçuesve, për shembull. Pra, shumë gjëra vërtet interesante që po shohim në shfaqje. Kështu që mendoj se kjo na jep pak pretekst për të parë disa nga trendet kryesore të malware-eve që kemi parë këtë vit, dhe në të vërtetë se si po zhvillohen ato. Pra, vetëm për të filluar Sherrod, e dini, Black Hat USA 2020 është pak më ndryshe duke qenë virtual këtë vit. Por a ka ndonjë gjë në lidhje me malware ose kërcënime të tjera që po shohim se vërtet po pret të shohësh më shumë diskutime në shfaqje këtë vit?

SD: Në lidhje me malware mendoj se ne vërtet jemi të interesuar të shohim se si aktorët e kërcënimit evoluojnë ndërsa perimetri i rrjetit bëhet gjithnjë e më pak një objektiv i lehtë. Unë mendoj se kjo është diçka që – për të mos qenë tepër optimist – Por unë mendoj se industria e sigurisë së informacionit ka qenë e suksesshme në sigurimin e perimetrave tona, sigurimin e teknologjisë sonë, sigurimin e sistemeve tona, mjetet janë atje, teknologjia është atje. Nëse e përdorim atë dhe e zbatojmë, po ecim vërtet mirë. Janë aspektet e “njerëzve” që ne vazhdimisht zbulojmë është se vendi që duket se është vendi ku shumë sulmues janë në gjendje të hyjnë. Duke forcuar inxhinierinë sociale, ata mund ta dinë, të fillojnë shumë sulme në shkallë, të futen në vendet ku ata kurrë nuk mund të kisha hyrë më parë, thjesht duke u mashtruar dikush për të klikuar mbi diçka. Kështu që ne e shohim që mbetet ende një problem. Dhe nga perspektiva e malware, ju përmendët anën gjysmëpërçuese të tij. Fill pas Black Hat vitin e kaluar, ne zbuluam një aktivitet të qartë të sponsorizuar nga shteti që synonte ofruesit e shërbimeve të energjisë elektrike në SHBA dhe ne kemi shkruar për këtë gjerësisht në malware FlowCloud dhe LookBack. Dhe kjo është diçka që unë jam i interesuar të kuptoj gjithashtu. Ne jemi në një situatë të re ku unë mendoj se të gjithë menduan se të gjithë kërkimi i kërcënimeve do të jetë rreth zgjedhjeve. Epo, pak e dinim se kemi një pandemi globale në duart tona, që po shfrytëzon anën e inxhinierisë sociale të pandemisë. Zgjedhjet pothuajse kanë marrë një pozicion të prapambetur për sa i përket COVID-19 që është kaq i gjithëpranishëm. Prandaj jam i interesuar ta shoh, jam i interesuar të shoh shënjestrimin për infrastrukturën kritike, për infrastrukturën zgjedhore … dhe dua të di se çfarë tjetër ka atje.

LO: Kjo është një pikë aq e mirë për llojin e anës emocionale të gjërave gjithashtu, dhe numrin e njerëzve këtu sepse siç e përmendët ju, me pandeminë dhe me rritjen e fuqisë punëtore të largët dhe gjithçka tjetër, kjo me të vërtetë krijon një peizazh të evoluar të kërcënimit, veçanërisht nga një që është shumë më ndryshe nga ajo që pamë në vitet e mëparshme në Black Hat USA dhe në DEF CON. Mendoj se është interesante. Dhe, e dini, unë jam duke dëgjuar se po shohim shumë të njëjtat familje malware dhe ransomware që kemi parë në të kaluarën, por që sulmet janë bërë shumë më të sofistikuara, duke luajtur në ato emocione të një niveli të lartë të streset dhe pasiguria. Dhe sulmuesit me të vërtetë po ndreqin ngjarjet aktuale. A po e shihni atë dhe, çfarë po shihni me të vërtetë me sulmet kibernetike dhe si po evoluojnë ato rreth pandemisë?

SD: Kështu që mendoj se është absolutisht e drejtë. Kemi  filluar ta shohim në fund të janarit të vitit të kaluar kur shumë prej joshjeve të inxhinierisë sociale përfunduan me të vërtetë duke folur për COVID-19. Ne pamë gjithçka, nga “rezultatet e testit tuaj janë gati” deri te “bashkangjitur në listën e njerëzve që janë gjetur pozitivë për virusin me të cilin keni ndërvepruar”. E gjithë rruga për te “bashkëngjitur fatura juaj COVID-19”. Pra, ne kemi parë me të vërtetë gamën e përdorimit të pandemisë si pjesë e sulmeve të inxhinierisë sociale që vijnë së bashku me malware. Dhe për sa i përket llojeve të ndryshme të kërcënimit, ransomware ndryshimi bëhet aq shumë në mënyrën se si funksionon. Më parë po shihnim te mbyllur dy, tre vjet më parë në vëllime masive, një deri në 3 milion mesazhe në ditë, shumë herë, duke përhapur ransomware si një bashkëngjitje ose një lidhje që do të klikonit. Ajo që shohim shumë më tepër tani janë këta shkarkues fleksibël modularë që përdorin aktorët e kërcënimit për t’i futur në një makinë. Dhe pastaj ata fillojnë të kuptojnë se çfarë është ajo makinë, kush po e përdor atë, kush mund të jetë personi që e zotëron atë dhe pastaj ata marrin një vendim se cili duhet të jetë ngarkesa e fazës tjetër. Unë mendoj se në rastet kur ata kanë përcaktuar që shkëlqimi tjetër ka një lloj vlere të lartë ose është në një organizatë ose një qeveri posaçërisht që do të paguajë. Kjo është kur ata vendosin ransomware. Tani, ata e shohin se si ndoshta një makinë desktop që dikush e përdor për dizajn grafik ose për të ndjekur një lloj shitjesh ose diçka jo aq jetike për biznesin, kjo është kur ata mund të zgjedhin një ngarkesë tjetër të fazës tjetër si një Trojan ose mund të ndihet si ju përmendët Trojans me qasje në distancë për të marrë gjëra të tjera më vonë.

LO: E drejta. Po, kjo patjetër që ka kuptim. Epo, edhe unë dua të pyes, le të bëjmë një hap prapa, dhe ju e dini, përsa i përket Emotet, sepse unë e di që në Black Hat USA 2019, kjo ishte një pikë e madhe diskutimi kur kemi biseduar për herë të fundit, dhe besoj se në 2019, ata kishin shkuar në këtë “pauzë” dhe pastaj u kthyen menjëherë pas Black Hat USA 2019. Dhe tani me Black Hat USA 2020 që po vijnë ata gjithashtu janë kthyer pas një zhdukje pak prej pesë muajsh. Dhe kështu flisni pak për Emotet, se si ka evoluar gjatë vitit të kaluar dhe si vazhdon të evoluojë.

SD: Sigurisht. Pra, Emotet është një nga ata klasikët, mendoj se mund ta quajmë klasik në këtë pikë. Ka qenë në faza të ndryshme që nga viti 2014, kur ne filluam ta gjurmonim me të vërtetë në një shkallë. Dhe gjatë vitit të kaluar, ata kanë pasur ato pushime, ata kanë thënë se do të shkojnë me pushime dhe nuk e thonë atë, por ju e dini, ata e kanë marrë atë kohë pushimi dhe ne nuk e dimë se ku ata shkojnë, sigurisht, dhe ata nuk kanë bërë një fushatë që nga 6 shkurti i vitit 2020. Dhe pastaj u kthyen më 17 korrik, për 161 ditë jashtë peizazhit në email. Botnet dhe infrastruktura herë pas here po tregonin shenja jete, por ato nuk ishin në kutinë hyrëse dhe kutia në hyrje është mënyra se si ata përpiqen të marrin ngarkesën e tyre në ato makineri. … Ajo që kemi parë është se gjatë 10 ditëve të fundit ose më shumë që nga 17 korriku, ata kanë bërë një milion e gjysmë plus mesazhe gjatë kësaj kohe, kryesisht të hënën deri të premten, nëntë deri në pesë për gjeografinë lokale dhe ato janë të përhapura. Unë kurrë nuk i kam parë ata të synojnë vertikalisht. Unë kurrë nuk i kam parë ata të synojnë një lloj specifik personi ose një vend të caktuar, ata i dërgojnë në bord për secilën prej fushatave të tyre. Pra SH.B.A., MB, Kanada, por kemi parë edhe Brazilin, Italinë, Spanjën, Emiratet e Bashkuara Arabe. Ata përdorin një lloj tërheqjeje mjaft të përgjithshme. Vetëm në dy ditët e fundit kemi parë diçka që është shumë interesante dhe në fakt është një joshje e vjetër. Kështu që ata po më kthejnë disa nga taktikat që ata përdorën më parë, ne nuk kemi parë shumë evolucion. Ne e pamë sot, duke kombinuar dokumente të dëmshme të Word me PDF dashamirës, ​​ndoshta një përpjekje për të marrë një lloj evazioni për kontrollet teknike, ose për të mashtruar ndoshta njerëzit për të klikuar, më shumë të ngjarë të klikojnë, sepse ata kanë dy dokumente që duhet të rishikojnë, një e keqe, nje eshte e mire Ne gjithashtu e dimë që Emotet bën testime. Dhe kjo është arsyeja pse është një nga ato kërcënime, që është parë kaq nga afër.

Ata do të hedhin një provë para se të futen në fushatat e tyre të mëdha. Dhe kështu ne duam të shikojmë nga afër se çfarë po bëjnë. Sepse nëse ata i bëjnë ato teste, atëherë shpresojmë se mund t’i kalojmë përpara për vrapimin tjetër që ata bëjnë për ato fushata.

LO: E drejta. Dhe unë kam dëgjuar gjithashtu, se ata kanë qenë, botnet Emotet ka shkarkuar gjithashtu TrickBot dhe Qakbot, dhe disa nga ato të tjera. A është ajo që po shihni edhe ju, dhe është më shumë e njëjta gjë nga ato që kanë bërë në të kaluarën apo është ndryshe? Çfarë po shihni atje?

SD: Pra, ju e dini, në komunitetin që ndjek Emotet – studiuesit e mi e ndjekin atë – Ne kemi bërë një lloj shakaje në të kaluarën se Emotet dhe TrickBot janë miqtë më të mirë. Ata janë në një marrëdhënie monogame. Emotet e hodhi TrickBot për kaq shumë kohë, në mënyrë të vazhdueshme, saqë sapo filluam të themi, “oh, Emotet gjithmonë do të heqë TrickBot”. Epo, tani që ata janë kthyer, po bën më shumë Qakbot. Dhe ne nuk po shohim shumë TrickBot siç po shihnim më parë. Nuk e di pse është kështu. Ndoshta ata mendojnë se Qakbot ka pak më shumë të ngjarë t’u sigurojë atyre rezultatet e ngarkesës që ata dëshirojnë. Por në thelb, ata nuk kanë bërë TrickBot siç ishin më parë. Dhe ata kanë qenë duke përdorur të njëjtat joshje email-i që ishin më parë. Pra, nuk ka shumë evolucion, i cili nga njëra anë duket – në rregull, ata sapo u kthyen siç ishin. Por nga ana tjetër, ne disi mendojmë, në rregull, nëse ato nuk do të evoluojnë tani. Kur do të evoluojnë? Dhe kur do të fillojë kjo?

LO: Po, po, kjo është një gjë me të vërtetë interesante për t’u theksuar gjithashtu. Dhe pashë gjithashtu, që kishte raporte të një hakeri vigjilent i cili po sabotonte operacionet e fushatës dhe po zëvendësonte ngarkesat e Emotet me GIF të animuara, të cilat mendova se ishte disi një lajm i vogël qesharak atje.

SD: Pra, po, ai person është heroi ynë. Kështu që shumë njerëz kanë folur për këtë sepse ka qenë vërtet aty-këtu. Pra, në thelb, mënyra se si ata e kanë bërë këtë është Emotet përdor shumë WordPress. Kështu që instalimet e WordPress-it priren të instalohen. Pronari mbase nuk i ndryshon emrin e përdoruesit dhe fjalëkalimin, ata kanë mbetur të parazgjedhur ose instalojnë një lloj shtojce të prekshme. WordPress ka tendencë të jetë relativisht i pasigurt. Shumë aktorë të kërcënimit e përdorin atë. Në këtë rast, Emotet po gjente ato emër përdoruesi dhe fjalëkalimi të parazgjedhur të instaluar në WordPress dhe po pret ngarkesën atje. Ajo që po bën heroi ynë vigjilent është se ata do të gjejnë instalimet e WordPress ku është ngarkuar ngarkesa e Emotet. Ata hyjnë me të njëjtin emër përdoruesi dhe fjalëkalim që bëri Emotet, ata fshijnë një ngarkesë dhe vendosën një lidhje të nxehtë për GIPHY. Dhe ata që kam parë kanë qenë “djali WTF” nga videoja Blink-182 dhe një shkrepje e James Franco nga ai film që ai bëri për Kim Jong-Un. Pra, ata kanë një sens të shkëlqyeshëm të humorit. Por ajo që më duket vërtet interesante është se ata janë në lidhje të nxehtë me GIPHY. GIPHY është në pronësi të Facebook. Facebook ka një ekip shumë të respektuar të sigurisë dhe inteligjencës. Çfarë do të thotë kjo është që Facebook tani është ulur në një sasi të pabesueshme telemetrike rreth Emotet për çdo herë që GIF po goditet në faqen WordPress. Pra, nëse Facebook dëshiron ta ndajë atë, unë jam i sigurt që njerëzit do të ishin më shumë të lumtur të shijonin telemetrinë që Facebook tani zotëron për Emotet.

LO: Uau. Po, kjo është me të vërtetë interesante. As që e mendova. Kështu që, ne do të shohim atje, por unë gjithashtu doja të pyesja, a e shihni Emotet që vazhdon të zhvillohet në një farë mënyre që mund t’i befasojë njerëzit apo cila mendoni se është e ardhmja për Emotet në vitin e ardhshëm?

SD: hardshtë e vështirë për mua të imagjinoj se ata kanë humbur shpirtin e tyre inovativ. Unë mendoj se ata do të vazhdojnë të evoluojnë, ata do të vazhdojnë të bëjnë testimin dhe forcimin e gjërave që funksionojnë dhe hedhjen poshtë të gjërave që nuk funksionojnë, por është si çdo gjë, ne duhet të ulemi dhe të shohim. Në fund të fundit kur jeni duke folur për përpunimin e mallrave, qëllimi i këtyre aktorëve dhe qëllimi i këtyre fushatave është që ndoshta të fitojnë para. Dhe kështu ata do të anojnë drejt gjithçkaje që do të mund të paguaj më së miri.

LO: E shkëlqyeshme. Epo, patjetër që do ta kërkojmë pjesën tjetër të vitit 2020. Pra, Sherrod, shumë faleminderit që u bashkove me mua sot.

SD: Faleminderit që më ke sot, Lindsey, gjithmonë mirë që të shoh.

LO: Edhe ti. Dhe të gjithë shikuesve tanë, faleminderit që dëgjuat dhe nëse ju pëlqyen ato që dëgjuat ose keni pasur ndonjë mendim apo pyetje, ju lutemi komentoni nën video. Faleminderit.

Postime te ngjashme