簡述
Emotet 在今年四月的復甦，被專家稱為是世界上最危險惡意軟體的回歸。而近日研究人員發現許多新的網路釣魚行為，這些釣魚事件都是透過被盜的電子郵件來傳播 Emotet 的新變種。

來自 Deep Instinct 的 Charles Everette 在一篇部落格文章中指出，Emotet 新與改進的版本，表現出憑證被收集及盜用的行為，這些被盜憑證會被武器化，以進一步分發 Emotet 二進制文件。Emotet 仍然再利用與過去相同的攻擊向量，只是攻擊變得越來越複雜，並且繞過了用於檢測及過濾這類型攻擊的安全工具。

 

Emotet 的復甦
根據 Proofpoint 的報告，Emotet 在今年四月回歸，並且有針對性地進行釣魚攻擊，且其活動被懷疑與 TA542 的駭客組織有關。與其他駭客組織一樣，Emotet 持續利用 2017 年的 Office 漏洞 CVE-2017-11882，這是一個記憶體毀損漏洞，允許攻擊者執行惡意代碼。研究人員觀察到近 20% 的樣本利用了這個漏洞。Emotet 仍然主使用帶有惡意附件的網絡釣魚作為其選傳輸方式，其中 45% 的惡意軟件使用某種類型的 Office 附件。在這些附件中，33% 是電子表格，29% 是可執行文件和腳本，22% 是檔案，11% 是文檔。據 Deep Instinct 的說法，Emotet 最新版本的其他顯著變化是它使用了 64 位 shell 代碼，以及更高級的 PowerShell 和攻擊活動腳本。

Deep Instinct 指出，Emotet 於 2014 年作為銀行木馬開始其犯罪活動，其運營商成為首批提供惡意軟件即服務 (MaaS) 的犯罪集團之一。該木馬隨著時間的推移演變為一種全方位服務的威脅傳遞機制，能夠在受害者機器上安裝一系列惡意軟件，包括信息竊取器、電子郵件收集器、自我傳播機制和勒索軟件。事實上，Trickbot 以及 Ryuk 和 Conti 勒索軟件組織一直是 Emotet 的慣常合作夥伴，後者使用該惡意軟件來獲得對目標系統的初始訪問權限。

而在 2021 年 1 月，Emotet 因國際執法部門搗毀了支持其系統運作的伺服器和導致其倒閉，不過與許多網路犯罪集團一樣，在 2021 年 11 月時又捲土重來，並且是躲在另一個犯罪集團 Trickbot 的背後。

 

參考資料：https://threatpost.com/potent-emotet-variant-spreads-via-stolen-email-credentials/179932/