Emotet Banking Trojan elsker USA Internet Providers

Ifølge nye data fra TrendMicro har angriberne, der benytter Emotet banking Trojan, overvejende brugt internetudbydere i USA til at være vært for deres Command & Control-infrastruktur.

I et nyere blogindlæg angiver TrendMicro, at USA, med en 45% -andel, er vært for mere Emotet C2-infrastruktur gennem Comcast, efterfulgt af Mexico og Canada. De øverste 3 ASN numre, der bruges til at være vært for C2 servere, er 7922 (Comcast Cable), 8151 (Telmex) og 22773 (Cox Communications). Denne infrastruktur blev bestemt ved aktivt at spore Emotet og med næsten 15 tusinde artefakter, der spænder mellem juni og september 2018.

Toplande hosting Emotet C & C servere

Emotet bruger RSA-certifikater til fortrolig kommunikation og ved at analysere Emotet malware prøver, blev det bemærket, at en enkelt prøve i gennemsnit indeholder 39 forskellige C2 adresser. Hver C2 bruger et af seks RSA-certifikater og ved at følge de prøver og certifikater, der blev brugt af C2, kunne TrendMicro yderligere dele de seks certifikater i to grupper; med tre certifikater pr. gruppe.

Disse to grupper viser, at de er to separate C2-infrastrukturer, der opererer parallelt. TrendMicro siger, at dette gør det "sværere at spore Emotet og minimere risikoen for fiasko”. Korrelerende kendte kampagner mod de to infrastrukturgrupper viser en klar skelnen mellem de to og angiver en forskellig dagsorden, som endda kan styres af forskellige operatører.

Den forskning Yderligere diskuterer gennemgang af samlingstidsstempler for at gøre en hypotese om, at forfatteren kan operere i UTC + 10, som placerer dem i øst Rusland eller øst Australien. TrendMicro indrømmer imidlertid, at dette kun er spekulation, da mindst tre separate maskiner bruges til at pakke og drive forskellige tidszoner. Trusselaktører har også været kendt for at ændre deres lokalitet og tidssone for at forvirre omvendte ingeniører.

Mens meget af verden er påvirket af Emotet, er Europa og USA blevet påvirket af de største. Det er ironisk, hvordan infrastruktur, der anvendes af Emotet, befinder sig i samme regioner som ofrene, men viser endvidere, at disse regioner har god forbindelse og indeholder billige hosting såvel som let kompromitterede noder.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.