Contenuto di Caccia alle Minacce: Emotet Ritorna Ancora una Volta

Mai fu storia più dolorosa di questa di Emotet che ritorna ancora una volta. Questa volta, non ci sono state campagne su larga scala per circa sette mesi, anche se sono stati registrati casi isolati di infezione e i ricercatori hanno trovato documenti che distribuivano questo malware. Gli attacchi sono ripresi lo scorso venerdì, con la botnet che ha inviato circa 250.000 email nel giro di poche ore, colpendo destinatari principalmente negli Stati Uniti e nel Regno Unito. Da allora, la botnet ha continuato a fornire ai ricercatori nuovi campioni occupando una posizione di primo piano su any.run. 

Nelle campagne recenti, la botnet ha distribuito il trojan IcedID , ma gli attaccanti possono rapidamente riconfigurarlo per qualsiasi payload. Ricordiamo che l’anno scorso Emotet è andato in vacanza per tutta l’estate e dopo molto tempo si è ‘ripreso’. Questa volta tutto è successo più velocemente, e stiamo già aspettando la sua prossima lunga vacanza. Nel frattempo, i membri del Threat Bounty Program vi presentano nuovi contenuti della comunità per rilevare questa minaccia:

Emotet Attraverso Documento Word (Comportamento Sysmon) by Lee Archinal – https://tdm.socprime.com/tdm/info/2tYN2TlMxm0a/zMQad3MBQAH5UgbB7xy7/?p=1

Il nemico pubblico del cyber Emotet è tornato by Osman Demir – https://tdm.socprime.com/tdm/info/mX8YnI2czLHA/pMYLe3MBQAH5UgbBgol9/?p=1

Le regole hanno traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Accesso Iniziale, Esecuzione, Evasione delle Difese, Comando e Controllo

Tecniche: Spearphishing Allegato (T1193), Interfaccia da Riga di Comando (T1059), Rimozione Indicatori su Host (T1070), Protocollo Applicativo Standard (T1071)

Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.