僵尸網絡Emotet卷土重來，已感染179個國家的13萬臺設備

曾經臭名昭著的僵尸網絡Emotet在2021年初被全球執法部門重拳出擊后消失了一段時間，如今，它已卷土重來，而且勢頭兇猛。據Securityaffairs等網站消息，Emotet自去年11月復出以來發展迅猛，已經感染了約13萬臺主機，遍布179個國家。

Emotet 于 2014 年被首次發現，最初是作為一種銀行木馬病毒進行傳播，但隨著發展逐漸囊括了越來越多的惡意程序，如Trickbot 和 QBot，以及勒索軟件Conti、ProLock、Ryuk和 Egregor等，構建成了一個龐大的僵尸網絡。2021 年 11 月，來自多家網絡安全公司(Cryptolaemus、GData和 Advanced Intel)的研究人員報告稱，攻擊者正利用TrickBot 惡意軟件在受感染設備上投放 Emote 加載程序，專家們跟蹤了旨在利用TrickBot的基礎設施重建Emotet僵尸網絡的活動。

研究人員指出，新的 Emotet具有了一些新功能：

● 除了規避檢測和分析，還能對網絡流量進行加密，以及將進程列表分離到自己的模塊中;

● 采用橢圓曲線加密 (ECC) 方案，代了用于網絡流量保護和驗證的 RSA 加密;

● 新版本只有在與C2建立連接后才會部署進程列表模塊;

● 添加了更多信息收集功能，以更好地進行系統分析，而以前，Emotet 只會發回正在運行的進程列表。

但與之前的版本相似，Emotet 的大部分C2基礎設施位于美國和德國，其次是法國、巴西、泰國、新加坡、印度尼西亞、加拿大、英國和印度;在機器人(Bot)方面，則重點分布在日本、印度、印度尼西亞、泰國、南非、墨西哥、美國、中國、巴西和意大利。分析人士認為，排名靠前的國家是由于這些地區擁有較多過時且易受攻擊的Windows設備。

去年年初，由荷蘭、德國、美國、英國、法國、立陶宛、加拿大和烏克蘭組成的執法部門曾開展行動，破壞了Emotet相關基礎設施。由此看來，這次行動并不徹底，導致Emotet在沉寂大半年后死灰復燃。

參考來源：

https://securityaffairs.co/wordpress/128879/breaking-news/emotet-botnet-rapidly-growing.html

https://www.bleepingcomputer.com/news/security/emotet-growing-slowly-but-steadily-since-november-resurgence/

文章來源：BreeFuf