圣诞节休息后,情感重振
“情绪电子邮件”特洛伊木马转机僵局又回到了行动,显然在假日季节之后重振,校对点和思科·塔罗斯斯的网络安全研究人员在过去的48小时内确认。
这不是第一次成为Modtet背后的TA542网络犯罪集团 - 这被认为是世界上最危险的僵尸网络和恶意软件滴剂之一 - 已经休息了一些时间。去年夏天,MODETET的活动在2019年9月中旬重新出现之前盯着近三个月半的活动,也明显地用意大利语和西班牙语进行了密集的课程。
情绪通过窃取受害者的电子邮件,然后冒充它们并邮寄本身的副本,通过在相当标准的社会工程攻击中打开附加或联系文件,征收自身的副本。
受感染的终点然后继续向上传播到同一网络上的其他机器上,窃取更多凭证和垃圾邮件发送更多的联系人列表。它还可以作为赎金软件有效载荷的交付机制。
威胁研究和检测高级总监Sherrod Dolppo说:“情感是世界上最具破坏性威胁的威胁之一,全世界都应该认真对待其回报。他们有一个大规模的发送基础设施 - 没有人像他们这样做。
“TA542最近的活动中的上升表明,威胁演员工作更聪明,不难。他们在2019年休息了150天,即使是休息,它们也非常有效。
“当2019年9月从夏天的中断返回TA542时,他们占我们在当年的整个第三季度的全球范围内得到的所有恶意附属物的11%以上,尽管在三个月的时间里只有两周。”
Cisco Talos'Jaeson Schultz,他们一直在监测其活动的一段时间,将情绪描述为特别狡猾的敌人,因为它利用个人和专业关系来传播本身。
“当从受信任的朋友或同事收到一条消息时,对收件人来说是非常自然的,因为它可以安全地打开这封电子邮件附件,因为它是回复我发送的消息,或者来自我所知道的人”,“他说。
“向情绪受害者发送电子邮件的任何人或组织都可以由Modeet的传播消息定位。您拥有的受害者的互动越多,您就越有可能从ModeTET获得恶意电子邮件。
“就像蜿蜒的浇水孔攻击一样,这就是情绪如何影响组织边界,可能会影响整个产业甚至国家。”
作为一个例子,Schultz表示,在最近几周的某些时间内,Modtet已经明确地成功地损失了美国政府内的一个或多个人,因此导致.mil和.gov顶部的传染性消息的数量美国军队和政府使用的级别域名(TLD)大规模飙升。
Dolpppo证实了在加拿大北美洲,墨西哥和美国北美观察到的大规模情感卷,但截至1月14日星期二,卷也在其他国家勾选,包括澳大利亚,德国,意大利,日本,新加坡和西班牙。
“单独周一,我们看到近四分之三的消息,他们已经快速接近一百万条消息,”她说。“为了给予这种背景,这不是我们从这个演员看到的最高卷 - 在一天内超过一百万条消息。但周一是自2019年4月以来的最大批量。“
Dolippo敦促Cisos非常认真对待这一活动,并敦促组织采取所有必要的步骤,以确保他们的电子邮件流量是安全的,并且批判性地,最终用户对单击未经请求的链接或附件的危险令人醒来。
“通过电子邮件网关的保护层的分层防御将有助于防止提供这些消息,并定制用户培训计划将有助于潜在的受害者承认恶意电子邮件,”她说。
“安全部队必须继续确保其电子邮件频道,并教育用户有关与电子邮件附件相关的增加的风险。”
舒尔茨补充说:“如果靠近您的组织被感染了MODETET,您可以期望收到向用户提供的传染性电子邮件量增加。如果ImpleTet感染域内的任何用户,那么目前为您的网络发出的Modtet电子邮件量将增加。
“许多这些电子邮件消息通过劫持电子邮件到达,因此没有简单的模式,防垃圾邮件系统可以用于识别和消除这些消息。更先进的反垃圾邮件系统,如IPA,仍然能够成功过滤邮件。但是,所有技术系统,无论多么强大,必须始终通过对您的用户的教育努力和意识培训来补充。“