Détecter l’activité d’Emotet : le célèbre malware réapparaît pour cibler les systèmes dans le monde entier
Table des matières :
Le célèbre Emotet est de retour, ayant eu sa résurgence de l’Epoch 5 après que tous les serveurs de commande et de contrôle (C&C) du botnet aient été perturbés lors d’une opération conjointe des forces de l’ordre internationales, l’Opération Ladybird, début 2021. Selon les chercheurs, ce n’était qu’une question de temps avant que l’infrastructure C&C d’Emotet se rétablisse et recommence une campagne d’attaques cybernétiques à grande échelle. Et bien que les mainteneurs du malware restent inconnus, cette campagne coïncide de manière suspecte avec l’invasion russe de l’Ukraine.
Chez SOC Prime, nous continuons à renouveler notre contenu de détection pour que vous puissiez capturer les dernières activités d’Emotet et autres dès que possible. Vous trouverez ci-dessous les règles de détection les plus récentes et une analyse approfondie.
Détection des attaques Emotet
Pour détecter le comportement le plus récent de Emotet, consultez les règles élaborées par notre développeur Threat Bounty Furkan Celik:
Emotet détecté à nouveau dans les fichiers MS Office (Mars) (via l’événement de registre)
Cette détection a des traductions pour les plateformes SIEM, EDR et XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio
FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.
Les règles sont alignées avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’évasion de défense avec Modifier Registre (T1112) comme technique principale.
Détection des nouveaux comportements Emotet (Mars) (via la création de processus)
Cette détection a des traductions pour les plateformes SIEM, EDR et XDR suivantes : Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache, Kafka ksqlDB, Securonix, AWS OpenSearch.
Les règles sont alignées avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’évasion de défense avec Exécution par proxy de binaire signé (T1218) comme technique principale.
Les organisations doivent également être conscientes qu’une fois ce botnet infiltré dans le réseau, il peut télécharger d’autres souches de attaques malveillantes comme Emotet qui provoquerait d’autres exploits de comportements différents. C’est pourquoi il est nécessaire de vérifier tout signe de dommages collatéraux comme le ransomware ainsi que la distribution de bots Emotet. Pour trouver tout le contenu traitant du comportement malveillant d’Emotet, vous pouvez consulter le contenu de détection disponible sur la plateforme SOC Prime.
Les défenseurs du cyberespace sont plus que bienvenus pour rejoindre notre programme Threat Bounty afin de profiter de la puissance de la communauté et d’être récompensés pour leur contenu de détection des menaces.
Voir les détections Rejoindre Threat Bounty
Processus d’infection Emotet
Pour illustrer l’importance de la résurgence d’Emotet, Proofpoint a trouvé plus de 2,73 millions d’e-mails de phishing envoyés par Emotet dès la première semaine de mars 2022. C’était plus que le nombre de mêmes e-mails pour l’ensemble du mois de février 2022 (2,07 millions). Auparavant, en novembre 2021, un réseau de 130 000 nouveaux bots répartis dans 179 pays avait été détecté.
De nouvelles preuves de l’activité d’Emotet montrent que les attaquants ont utilisé de nouvelles fonctionnalités pour fonctionner sans être détectés ni remarqués par les systèmes de sécurité de leurs victimes. Pour cela, les adversaires ont chiffré le trafic réseau via la cryptographie à courbes elliptiques (ECC) et ont séparé la liste des processus dans son propre module. De plus, les nouvelles versions de logiciels malveillants tendent à recueillir plus d’informations sur les hôtes infectés.
Les chercheurs de Black Lotus Labs mentionnent que la vitesse moyenne de la nouvelle campagne Emotet croissance est d’environ 77 C&Cs exclusifs de niveau 1 par jour de fin février 2022 au 4 mars 2022, avec la plupart des emplacements C2 d’Emotet se trouvant aux États-Unis et en Allemagne. Pendant ce temps, les bots infectés sont principalement concentrés dans des régions comme l’Asie, l’Inde, le Mexique, l’Afrique du Sud, la Chine, le Brésil et l’Italie. Compte tenu du nombre d’appareils Windows obsolètes, il est compréhensible que ces régions aient été si lourdement touchées.
Le botnet Emotet croît à une vitesse sans précédent tant qu’ils sont capables d’infecter des millions d’appareils des victimes et de les transformer en bots malveillants. Les arrêter est possible en rejoignant l’approche de défense collaborative. Rejoignez la plateforme SOC Prime Detection as Code et obtenez un accès immédiat aux contenus les plus récents qui vous aideront à détecter les menaces cybernétiques les plus récentes et les plus furtives. Et si vous pensez pouvoir contribuer avec des connaissances précieuses, soumettez votre contenu de détection à notre programme de crowdsourcing et obtenez des récompenses récurrentes pour votre contenu unique.
