Die Experten von Proofpoint haben kürzlich Emotet-Aktivitäten beobachten können, die sich drastisch vom typischen Modus Operandi von Emotet unterschieden. Diese neuen Bedrohungsmuster traten in einer Art „Frühjahrspause“ auf, in der besonders wenig andere Emotet-Aktivitäten festgestellt werden konnten.
Die Cyberkriminellen hinter Emotet haben seitdem ihre typischen Aktivitäten wieder aufgenommen, um Mitarbeiter von Unternehmen zum Ausführen schädlicher Software zu verleiten.
Proofpoint geht davon aus, dass die Gruppe, die Emotet verbreitet, wahrscheinlich neue Taktiken, Techniken und Prozeduren (TTPs) in kleinerem Umfang testet, bevor sie diese in groß angelegten Kampagnen zum Einsatz bringt.
Die verdächtigen Aktivitäten werden der Cyberkriminellen-Gruppe TA542 zugeschrieben, die OneDrive-URLs zu einem Zip-Archiv mit XLL-Dateien verwendete, über die wiederum die Emotet-Malware verbreitet wurde.
Sherrod deGrippo, Vice President Threat Research and Detection bei Proofpoint, warnt: „Nach Monaten gleichbleibender Aktivität ändert Emotet seine Vorgehensweise. Es ist wahrscheinlich, dass die Hintermänner neue Verhaltensweisen in kleinem Maßstab testen, bevor sie diese auf breiterer Basis einsetzen, oder dass sie sie über neue TTPs parallel zu ihren bestehenden groß angelegten Kampagnen verbreiten. Unternehmen sollte diese neue Vorgehensweise bewusst sein und sie sollten sicherstellen, dass sie auch entsprechende Schutzmaßnahmen ergreifen.“
Emotet
Emotet ist ein weit verbreitetes Botnet bzw. ein Trojaner. Ziel von Emotet sind Windows-Plattformen, um Malware zu verbreiten. Bis zu seiner zwischenzeitlichen Abschaltung im Januar 2021, galt Emotet als eine der produktivsten cyberkriminellen Bedrohungen.
Im November des vergangenen Jahres, zehn Monate nach seinem Verschwinden aus der Bedrohungslandschaft, beobachtete Proofpoint die Rückkehr dieses berüchtigten Botnetzes. Seitdem hat die mit Emotet in Verbindung stehende Gruppe TA542 Tausende von Unternehmen mit Zehntausenden von Nachrichten rund um die Welt ins Visier genommen. In einigen Fällen umfasste das Nachrichtenvolumen pro Kampagne mehr als eine Million E-Mails.
Details zu den Aktivitäten
Proofpoints Security-Experten entdeckten eine kleine Anzahl von E-Mails, die Emotet verbreiten. Die E-Mail-Konten der Absender schienen kompromittiert zu sein. Und die E-Mails wurden nicht vom Emotet-Spam-Modul versendet. Der Betreff der E-Mails war einfach gehalten und enthielt Worte wie „Salary“. Die E-Mails selbst enthielten lediglich OneDrive-URLs und keine weiteren Inhalte. Allerdings verwiesen die OneDrive-URLs auf Zip-Dateien mit Microsoft-Excel-Add-in-Dateien (XLL).
Für die Zip-Archive und XLL-Dateien verwendeten die Angreifer dieselben Köder wie für die E-Mail-Betreffzeile, z. B. „Salary_new.zip“. Dieses präparierte Archiv enthielt vier Kopien derselben XLL-Datei mit Namen wie „Salary_and_bonuses-04.01.
Die kürzlich identifizierten Aktivitäten unterscheiden sich von den zuvor beobachteten Emotet-Kampagnen durch folgende Merkmale:
- Das geringe Volumen der Aktivität. Normalerweise wird Emotet im Rahmen hochvolumiger E-Mail-Kampagnen verbreitet, die an viele Unternehmen weltweit versendet werden, wobei einige Kampagnen in den letzten Wochen insgesamt eine Million Nachrichten umfassten.
- Die Verwendung von OneDrive-URLs. In der Regel wird Emotet mittels Microsoft Office-Anhängen oder URLs (die zu kompromittierten Websites führen) verbreitet, bei denen ebenfalls Office-Dateien zum Einsatz kommen.
- Die Verwendung von XLL-Dateien. In der Regel werden zur Verbreitung von Emotet Microsoft Excel- oder Word-Dokumente genutzt, die VBA- oder XL4-Makros enthalten. XLLs sind eine Art Dynamic-Link-Library-Dateien (DLL) für Excel und dienen dazu, die Funktionalität der Anwendung zu erweitern.
Dennoch schreiben die Analysten von Proofpoint diese Aktivität mit hoher Wahrscheinlichkeit dem Bedrohungsakteur TA542 zu, da diese Gruppe die Emotet-Malware seit 2014 kontrolliert und nicht an andere Cyberkriminelle vermietet hat.
www.proofpoint.com