TA542, el nexo ciberdelincuente sospechoso de operar la botnet Emotet, parece haber utilizado un período reciente de tiempo de inactividad para probar algunas características nuevas que pueden indicar que el grupo está cambiando sus tácticas, técnicas y procedimientos, y es probable que esté tratando de moverse. una actualización reciente de Microsoft que bloquea las macros web de forma predeterminada, según la inteligencia de Proofpoint.
A pesar de la incautación de los servidores de Emotet en enero de 2021 y la posterior purga de la botnet maliciosa por parte de las fuerzas del orden, TA542, que también se conoce como Mummy Spider, la resucitó en noviembre pasado.
Desde entonces, la botnet revitalizada se ha dirigido a miles de organizaciones con decenas de miles de mensajes de phishing en una campaña que alcanzó su punto máximo durante la primera y tercera semana de marzo.
Sin embargo, se ha convertido en una costumbre entre los ciberdelincuentes tomar descansos durante los períodos clave de vacaciones y, justo en el horario previsto, este alto nivel de actividad se redujo brevemente a principios de abril y continuó durante las vacaciones de Semana Santa.
Fue durante la pausa de Pascua, dijo Proofpoint, que sus analistas observaron un comportamiento atípico de Emotet, y el vicepresidente de investigación y detección de amenazas de la empresa, Sherrod DeGrippo, sugirió dos teorías potenciales sobre por qué.
“Después de meses de actividad constante, Emotet está cambiando las cosas”, dijo. “Es probable que el actor de amenazas esté probando nuevos comportamientos a pequeña escala antes de entregarlos a las víctimas de manera más amplia, o distribuirlos a través de nuevos TTP junto con sus campañas de gran volumen existentes. Las organizaciones deben estar al tanto de las nuevas técnicas y asegurarse de que están implementando las defensas correspondientes”.
La actividad tomó la forma de un bajo volumen de correos electrónicos no deseados que distribuyen Emotet desde direcciones de correo electrónico comprometidas y no desde el módulo de correo no deseado de Emotet. Estos correos electrónicos tenían líneas de asunto simples, generalmente una palabra, y el cuerpo del texto no contenía nada más que una URL de OneDrive. Esta URL, a su vez, alojaba un archivo zip, marcado con el mismo señuelo que el asunto del correo electrónico, que contenía un archivo (o archivos) de Microsoft Excel Add-In (XLL) que, cuando se ejecutaba, soltaba y ejecutaba Emotet a través de la red de bots Epoch 4.
Esto difiere de los TTP de Emotet vistos anteriormente debido a su naturaleza de bajo volumen: Emotet ha utilizado más típicamente campañas de correo electrónico de alto volumen; el uso de OneDrive; por lo general, llega a través de un archivo adjunto de Microsoft Office o una URL que enlaza con un sitio comprometido que contiene un archivo de Office contaminado; y el uso de archivos XLL; anteriormente, Emotet se basaba en documentos de Microsoft Excel o Word que contenían macros VBA o XL4.
Los analistas de Proofpoint dijeron que era notable que TA542 esté explorando técnicas que no se basan en documentos habilitados para macros. Es probable que esto se deba a que, en febrero de 2022, Microsoft anunció que comenzaría a bloquear las macros de Visual Basic para aplicaciones (VBA) obtenidas de Internet pública de forma predeterminada en cinco de sus aplicaciones de Office más utilizadas desde abril, en un intento por mejorar la seguridad para los usuarios finales. .
Proofpoint dijo que, por lo general, los actores de amenazas como TA542 que dependían de archivos adjuntos habilitados para macros para entregar su malware dependen de la ingeniería social para convencer a un destinatario de que se puede confiar en su contenido y que debe habilitar macros para verlo. El bloqueo de macros de forma predeterminada hace que esto sea mucho más difícil para ellos porque hace que sea mucho más difícil para los usuarios simplemente hacer clic en algo para abrirlo.
Los cambios de Microsoft se aplican a las instalaciones de Office que se ejecutan en máquinas con Windows y se aplican a Access, Excel, PowerPoint, Visio y Word desde la versión 2203 en adelante a través de la vista previa del canal actual, antes de una implementación más amplia.
Los analistas dijeron que todavía creían que la actividad podría atribuirse con seguridad a TA542, ya que ha controlado de cerca a Emotet durante toda su vida y se ha negado a alquilar sus capacidades a otros grupos.
Más información sobre la campaña, incluidos los indicadores de compromiso (IoC), está disponible en Proofpoint.