Botnet pengiriman malware Emotet kembali setelah jeda singkat, dengan cepat meningkatkan jumlah email jahat yang dikirimnya dan menggunakan kemampuan tambahan, termasuk perubahan pada binernya dan mengirimkan versi baru penetes malware IcedID.
Ada juga laporan bahwa Emotet juga mengirimkan Kumbang pemuat malware juga, menurut analis Proofpoint.
Berbagai perubahan setelah hampir empat bulan diam juga bisa mengindikasikan perubahan manajemen Emotet, yang telah dijalankan oleh grup ancaman TA542 dan pada bulan April menduduki peringkat teratas. ancaman malware teratas – mempengaruhi enam persen perusahaan di seluruh dunia.
“Secara keseluruhan, modifikasi yang dilakukan pada klien ini menunjukkan bahwa pengembang mencoba menghalangi peneliti dan mengurangi jumlah bot palsu atau captive yang ada di dalam botnet,” tulis peneliti Proofpoint dalam sebuah laporan diterbitkan Rabu. “Penambahan perintah yang terkait dengan IcedID dan meluasnya pemuat IcedID baru mungkin berarti perubahan kepemilikan atau setidaknya dimulainya hubungan antara IcedID dan Emotet.”
Menjatuhkan sinyal IcedID bahwa Emotet kembali berfungsi penuh, bertindak sebagai jaringan pengiriman untuk keluarga malware lainnya. Itu adalah sesuatu yang belum ditampilkan – di luar Cobalt Strike – sejak 2021 dan pengiriman The Trick dan Qbot, dan itu bukan kabar baik.
“Kembalinya TA542 bertepatan dengan pengiriman IcedID memprihatinkan,” tulis para peneliti. “IcedID sebelumnya telah diamati sebagai muatan lanjutan untuk infeksi Emotet. Dalam banyak kasus, infeksi ini dapat menyebabkan ransomware.”
Comebacks adalah topi lama untuk Emotet, yang dimulai pada tahun 2014 sebagai trojan perbankan sebelum berkembang menjadi botnet. Penegakan hukum dari Amerika Serikat, Eropa, Inggris, dan Ukraina pada Januari 2021 menurunkan infrastruktur Emotet, memicu harapan bahwa ancaman malware telah berakhir. Namun, grup tersebut – juga dikenal sebagai Mummy Spider dan Gold Crestwood – muncul kembali pada November 2021 dan segera menjadi ancaman dunia maya yang dominan.
Emotet menjadi gelap 13 Juli sebelum kembali 2 November. Para peneliti berharap operator akan terus berkembang, mendorong volume email lebih tinggi, memperluas jangkauan geografisnya – di luar AS, Inggris, Eropa, dan Amerika Latin untuk memasukkan Yunani – dan mengadopsi varian dan teknik baru.
Perubahan pada biner Emotet juga menunjukkan bahwa kelompok ancaman di belakang Emotet akan terus beradaptasi.
“Penjahat dunia maya dapat menjadi gelap atau mengubah taktik karena sejumlah alasan, apakah itu sebagai tanggapan terhadap intervensi pemerintah atau penegakan hukum, karena penjahat dunia maya bergabung dengan kelompok lain, mereka mengembangkan malware baru atau mencoba model bisnis yang berbeda,” Darren Guccione, salah satu pendiri dan CEO Keeper Security, memberi tahu Pendaftaran. “Dalam hal ini, tampaknya pengembang mencoba untuk menghalangi para peneliti karena grup tersebut meningkatkan malware mereka agar tetap selangkah lebih maju dalam lanskap ancaman yang terus berkembang.”
Chris Clements, wakil presiden arsitektur solusi di Cerberus Sentinel, mengatakan TA542 diduga berbasis di Ukraina, oleh karena itu bisa saja terganggu karena pertempuran dengan Rusia.
“Heck, mereka bisa saja ingin berlibur dan menikmati penghasilan besar mereka untuk sementara waktu,” kata Clements Pendaftaran. Dia menambahkan, tidak mengherankan jika ada orang baru yang bertanggung jawab. “Sangat mungkin anggota asli memutuskan bahwa mereka telah mencuri cukup uang dan sudah waktunya untuk pensiun dan menyerahkan kendali kepada orang baru.”
Volume serangan juga signifikan, kata Yotam Segev, salah satu pendiri dan CEO di Cyera Pendaftaran.
“Karena itu adalah malware yang dikenal, berbagai vendor keamanan tahu cara memblokirnya,” kata Segev. “Untuk menjaga agar botnet tetap hidup, volume yang lebih tinggi dan memperluas batas geografis adalah suatu keharusan.”
Konten berbahaya yang dikirimkan melalui email masih merupakan lampiran Excel atau lampiran zip yang dilindungi kata sandi yang berisi file Excel. Namun, file Excel sekarang menyertakan instruksi bagi korban untuk menyalin file ke Templat Microsoft Office dan menjalankannya dari sana sehingga makro yang ada di dalamnya akan dijalankan tanpa peringatan atau interaksi pengguna.
“Namun, saat memindahkan file ke lokasi templat, sistem operasi meminta pengguna untuk mengonfirmasi, dan (mengatakan) bahwa izin administrator diperlukan untuk melakukan pemindahan tersebut,” tulis mereka. “Masih belum jelas seberapa efektif teknik ini.”
Mereka juga melihat perubahan sebelum November yang menunjukkan pengembang sedang mengerjakan botnet – termasuk penggunaan XMRig Monero cryptominer dan modul baru yang mengumpulkan informasi dari sistem yang terinfeksi, termasuk nama host, nama pengguna, informasi OS, CPU, dan ukuran memori.
Sejak 2 November, Proofpoint telah menemukan perintah baru, informasi paket check-in baru, dan pengemas yang diperbarui di Emotet. Kelompok ancaman juga mengimplementasikan ulang loop komunikasi – menggunakan Windows API CreateTimerQueueEx untuk menentukan seberapa sering permintaan dibuat ke server perintah-dan-kontrol (C2).
Kesalahan dengan server C2 – termasuk IP yang hilang dari beberapa modul dan server C2 yang ada di beberapa modul tetapi tidak di modul lainnya – adalah indikasi lain bahwa orang baru yang bertanggung jawab. Varian pemuat IcedID tampaknya masih baru atau masih dalam pengembangan, dan kemungkinan dikirimkan ke mesin yang sudah disusupi.
Itu dan perubahan lain dalam varian “dapat menunjukkan bahwa lebih banyak prioritas ditempatkan pada bot IcedID yang berjalan di mesin Emotet atau bahwa grup yang mengelola bot IcedID dari malspam berbeda dari grup yang mengelola bot yang bersumber dari Emotet,” tulis para peneliti.
Anehnya, Proofpoint melihat kampanye Emotet setiap hari kerja antara 2 dan 11 November, tetapi aktivitas tersebut telah berhenti. Para peneliti berharap TA542 segera kembali lagi. ®