Emotet：持续演变的恶意软体

重要资讯摘要

• Emotet恶意程式运营者透过持续技术和指挥控制基础设施的变更来逃避检测。
• Emotet最初于2014年被设计为一种银行木马，两年后演变成万用加载器。
• 虽然该恶意软体的基础设施在2021年1月被拆除，但随著Conti集团的协助，它又重新出现并被TrickBot恶意程式复活。
• 最新报告显示，Emotet在攻击中使用了三种不同技术，某些感染路径涉及利用mshta.exe执行档进行混淆代理攻击。
• 在发现的报告中，Excel文档被揭示出掉落了26.7%的近25,000个独特的Emotet DLL工件。

报导指出，Emotet继续在其复出之后运行新一代的机器人网络集群——Epochs 4和5，其中Epoch5的指挥控制伺服器被10,235个Emotet负载复用，从3月15日到6月18日的活动中均可以看到。此外，研究人员还发现该恶意软体交付了两个新插件，进一步增强了其攻击能力。

相关连结： – –

攻击技术概览

技术 | 说明
—|—
混淆代理攻击 | 利用mshta.exe执行档来进行混淆攻击。
新插件交付 | Emotet运用新插件增强其攻击功能。
机器人网络集群的重组 | Epochs 4和5的运行，其中Epoch 5的C2伺服器复用。

随著Emotet的再度崛起，安全研究人员必须加强防范措施，以应对越来越复杂的恶意攻击。这一情况提醒企业和个人持续关注安全状况，并加强其网络安全防御。