Détection d’Emotet : le célèbre botnet refait surface dans le paysage des menaces par e-mail

Les chercheurs en cybersécurité ont observé une recrudescence des nouvelles activités malveillantes de la botnet Emotet, qui était sous le radar depuis presque un semestre. Le tristement célèbre cheval de Troie attribué à l’activité malveillante du groupe de hackers TA542 est revenu en novembre 2022, étendant sa domination et son impact dans le paysage des menaces par e-mail. Dans les dernières campagnes, l’un des chevaux de Troie les plus destructeurs livre des chargeurs IcedID and BumbleBee sur les systèmes compromis via des e-mails de phishing.

Détecter le malware Emotet utilisé dans les dernières attaques par e-mail

Le notoire malware Emotet pose de graves risques en matière de cybersécurité aux organisations mondiales avec ses capacités offensives en constante amélioration et les immenses volumes d’e-mails de phishing qu’il délivre, atteignant des centaines de milliers d’échantillons par jour. Pour s’assurer que les praticiens de la sécurité soient bien armés contre cette menace néfaste, la plateforme Detection as Code de SOC Prime pour la défense cyber collective organise un ensemble de règles Sigma pour détecter les activités malveillantes associées au cheval de Troie Emotet. 

Toutes les détections sont mappées au cadre MITRE ATT&CK® et sont compatibles avec plus de 25 solutions SIEM, EDR, BDP et XDR leaders de l’industrie. Le contenu de détection est fourni à la fois par l’équipe SOC Prime et nos développeurs Threat Bounty passionnés, garantissant une diversité d’algorithmes pour s’adapter à vos besoins métiers et à la technologie utilisée. 

Devenez membre du Programme de Récompense pour Menace pour écrire vos propres règles Sigma mappées à ATT&CK, les partager avec la communauté mondiale des défenseurs du cyberespace via le plus grand marché de détection des menaces au monde, et recevoir des paiements récurrents pour vos contributions. Avec Threat Bounty, les chasseurs de menaces et les ingénieurs de détection peuvent littéralement coder le CV parfait, se connecter avec des pairs de l’industrie et perfectionner leurs compétences en cybersécurité tout en recevant de l’argent pour contribuer à la défense cyber collective.

Pour accéder instantanément aux règles Sigma pour la détection d’Emotet, cliquez simplement sur le bouton Explorer les Détections . Approfondissez le contexte complet des menaces cybernétiques, y compris les références MITRE ATT&CK, les renseignements sur les menaces, les binaires exécutables, et les atténuations pour une recherche de menace rationalisée.

Explorer les Détections

Analyse du malware Emotet : aperçu des dernières campagnes malveillantes

Emotet, l’un des chevaux de Troie les plus dangereux, qui a longtemps été une menace sévère pour les organisations mondiales, revient sur la scène des menaces cybernétiques. Le malware exploite un vecteur d’attaque par e-mail et est communément distribué via des documents Excel ou Word malveillants. Dès que les utilisateurs compromis ouvrent ces fichiers et activent les macros, la DLL Emotet infecte les systèmes ciblés, propageant ainsi d’autres charges malveillantes. 

Les chercheurs en cybersécurité de Proofpoint ont observé que le botnet Emotet et les charges qu’il dépose ont considérablement changé dans les dernières campagnes d’attaques par e-mail. La dernière version d’Emotet de 2022 utilisée dans les attaques de novembre applique de nouveaux fichiers Excel en tant qu’appâts de phishing et utilise un binaire différent. L’activité la plus récente d’Emotet est également caractérisée par le dépôt d’une nouvelle version du chargeur IcedID ainsi que du malware BumbleBee et d’un célèbre XMRig, connu pour miner la cryptomonnaie Monero.

En plus des mises à jour mentionnées ci-dessus, le chargeur Emotet applique également un ensemble de nouvelles commandes, une mise en œuvre améliorée de la boucle de communication et un nouvel empaqueteur avec la charge cryptée. L’utilisation par le malware de techniques avancées d’évasion de détection via une base de code 64 bits en fait une menace plus difficile pour les défenseurs du cyberespace. 

Avec l’évolution constante des outils adverses, l’utilisation d’une version binaire plus avancée et le potentiel de volumes d’e-mails plus élevés, le malware Emotet est susceptible d’étendre continuellement son champ d’attaques et de rester une menace sévère pour les organisations mondiales. Cela nécessite une ultra-réactivité des défenseurs du cyberespace, ce qui est possible avec la puissance de la défense cyber collective.

Équipez votre équipe avec des capacités de défense cyber proactive pour tout savoir sur les menaces cyber émergentes avant qu’elles ne frappent et identifier rapidement l’activité malveillante. En savoir plus sur https://socprime.com/ et accédez instantanément aux règles Sigma organisées pour détecter les menaces qui comptent le plus avec On Demand à https://my.socprime.com/pricing/.