{"id":37748,"date":"2023-03-10T10:41:19","date_gmt":"2023-03-10T09:41:19","guid":{"rendered":"https:\/\/www.secuinfra.com\/news\/the-whale-surfaces-again-emotet-epoch4-spam-botnet-returns\/"},"modified":"2023-03-13T10:23:40","modified_gmt":"2023-03-13T09:23:40","slug":"der-wal-taucht-wieder-auf-emotet-epoch4-spam-botnet-kehrt-zurueck","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/news\/der-wal-taucht-wieder-auf-emotet-epoch4-spam-botnet-kehrt-zurueck\/","title":{"rendered":"Der Wal taucht wieder auf: Emotet Epoch4 Spam-Botnet kehrt zur\u00fcck!"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/news\/der-wal-taucht-wieder-auf-emotet-epoch4-spam-botnet-kehrt-zurueck\/#Aktuelle_Malspam-Kampagne\" >Aktuelle Malspam-Kampagne<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/news\/der-wal-taucht-wieder-auf-emotet-epoch4-spam-botnet-kehrt-zurueck\/#Ausblick\" >Ausblick<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/news\/der-wal-taucht-wieder-auf-emotet-epoch4-spam-botnet-kehrt-zurueck\/#Indicators_of_Compromise\" >Indicators of Compromise<\/a><\/li><\/ul><\/nav><\/div>\n<p><strong>Das ber\u00fcchtigte Emotet Spam-Botnet, genauer gesagt der Epoch4 (E4) Cluster, ist nach etwa drei Monaten der Inaktivit\u00e4t wieder aufgetaucht.<\/strong> In diesem Newsbeitrag informieren wir \u00fcber die aktuelle Spam-Kampagne und die Bedrohung, die sie f\u00fcr Unternehmen auf der ganzen Welt darstellt.<\/p>\n<p>Emotet, das urspr\u00fcnglich f\u00fcr den Angriff auf Online-Banking-Informationen im Jahr 2014 konzipiert wurde, entwickelte sich im Laufe der Zeit zu einer umfassenden Plattform f\u00fcr Bedrohungsakteure. Sie erm\u00f6glicht den Diebstahl von Informationen, die Durchf\u00fchrung von Malspam-Kampagnen und die Auslieferung weiterer Malware und erm\u00f6glicht so gro\u00df angelegte Angriffe. Die Infrastruktur hinter Emotet \u00e4ndert sich h\u00e4ufig, wie nach dem von Europol koordinierten Takedown-Versuch im Jahr 2021 zu sehen ist, der zu einer 10-monatigen Unterbrechung der Emotet-Aktivit\u00e4ten f\u00fchrte. Nach dieser Unterbrechung kehrten die Bedrohungsakteure, die die Botnets \u00fcbernommen hatten, zur\u00fcck und sorgten f\u00fcr den zweiten bedeutenden H\u00f6hepunkt der Emotet-Aktivit\u00e4t.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Aktuelle_Malspam-Kampagne\"><\/span>Aktuelle Malspam-Kampagne<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die neue Emotet E4-Kampagne begann gegen 12 Uhr (UTC) am 7. M\u00e4rz 2023 (beobachtet von der <a  href=\"https:\/\/twitter.com\/Cryptolaemus1\/status\/1633099154623803394\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Cryptolaemus Group<\/a>, die sich auf die Verfolgung von Emotet-Aktivit\u00e4ten spezialisiert hat) und zeichnet sich durch einen besonderen Modus Operandi in den beobachteten Malspam-E-Mails aus.<\/p>\n<p>Die Bedrohungsakteure, die hinter Emotet stehen, haben eine Technik \u00fcbernommen, die derzeit von vielen anderen Crimeware-Akteuren eingesetzt wird: das Aufblasen b\u00f6sartiger Dateien mit Null-Bytes, um zu vermeiden, dass sie von Anti-Virus- oder EDR-L\u00f6sungen gescannt werden, die gro\u00dfe Dateien aufgrund der Leistungseinbu\u00dfen im Allgemeinen meiden. Um die Gr\u00f6\u00dfe der Datei vor dem Benutzer zu verbergen, werden b\u00f6sartige Dokumentk\u00f6der als Archivdateien (z. B. zip) geliefert. Nach dem Entpacken wiegen die analysierten Emotet-Samples \u00fcber 500 MB, wie in Abbildung 1 zu sehen ist.<\/p>\n<figure id=\"attachment_37725\" aria-describedby=\"caption-attachment-37725\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img fetchpriority=\"high\" decoding=\"async\" class=\"wp-image-37725 size-large\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-size-1024x391.png\" alt=\"\" width=\"1024\" height=\"391\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-size-1024x391.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-size-300x114.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-size-768x293.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-size-1536x586.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-size-24x9.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-size-36x14.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-size-48x18.png 48w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-size.png 1581w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-37725\" class=\"wp-caption-text\">Abb. 1: Verwandte Malware-Beispiele; links: erste Stufe, rechts: zweite Stufe<\/figcaption><\/figure>\n<p>&nbsp;<\/p>\n<p>Zur besseren Veranschaulichung der k\u00fcnstlichen Aufbl\u00e4hung der Proben haben wir in Abbildung 2 eine grafische Darstellung der Dateien erstellt, wobei dunkelblau Null-Bytes (im Wesentlichen leerer Speicherplatz, der sehr gut komprimiert wird) anzeigt.<\/p>\n<figure id=\"attachment_37727\" aria-describedby=\"caption-attachment-37727\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" class=\"wp-image-37727 size-large\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-viz-1024x404.png\" alt=\"\" width=\"1024\" height=\"404\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-viz-1024x404.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-viz-300x118.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-viz-768x303.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-viz-1536x605.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-viz-2048x807.png 2048w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-viz-24x9.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-viz-36x14.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-viz-48x19.png 48w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-37727\" class=\"wp-caption-text\">Abb. 2: Visualisierung der aufgebl\u00e4hten Samples<\/figcaption><\/figure>\n<p>&nbsp;<\/p>\n<p>Die b\u00f6sartigen Word-Dokumente, die derzeit \u00fcber Emotet-Spam verschickt werden, werden von der Cryptolaemus-Gruppe als &#8222;Red Dawn&#8220;-Vorlage (Abbildung 3) bezeichnet. Der K\u00f6der versucht, den Benutzer davon zu \u00fcberzeugen, dass das Dokument verschl\u00fcsselt\/gesch\u00fctzt ist und dass man den im Dokument enthaltenen Makrocode durch Anklicken der Schaltfl\u00e4che in der oberen linken Ecke aktivieren muss, um es zu sehen. Unmittelbar nach dem Klick auf die Schaltfl\u00e4che &#8222;Inhalte aktivieren&#8220; wird die AutoOpen()-Routine des Makro-Codes aktiviert und die n\u00e4chste Stufe der Malware wird heruntergeladen und im Hintergrund ausgef\u00fchrt.<\/p>\n<figure id=\"attachment_37729\" aria-describedby=\"caption-attachment-37729\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" class=\"wp-image-37729 size-large\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-reddawn-template-1024x432.png\" alt=\"\" width=\"1024\" height=\"432\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-reddawn-template-1024x432.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-reddawn-template-300x127.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-reddawn-template-768x324.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-reddawn-template-24x10.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-reddawn-template-36x15.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-reddawn-template-48x20.png 48w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-reddawn-template.png 1055w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-37729\" class=\"wp-caption-text\">Abb. 3: Word Vorlage &#8222;Red Dawn&#8220; verwendet von Emotet<\/figcaption><\/figure>\n<p>&nbsp;<\/p>\n<p>Um das Dokument seri\u00f6ser erscheinen zu lassen, als es tats\u00e4chlich ist, enth\u00e4lt es einen Textblock, der auf dem Screenshot unseres Hex-Editors in Abbildung 4 zu sehen ist. Bei dem Text handelt es sich um einen Abschnitt aus &#8222;Moby Dick&#8220; von Herman Melville, der auch den Titel unseres Blogbeitrags inspiriert hat, den Sie gerade lesen.<\/p>\n<figure id=\"attachment_37731\" aria-describedby=\"caption-attachment-37731\" style=\"width: 492px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-37731 size-full\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/emotet-mobydick.png\" alt=\"\" width=\"492\" height=\"630\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-mobydick.png 492w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-mobydick-234x300.png 234w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-mobydick-19x24.png 19w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-mobydick-28x36.png 28w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-mobydick-37x48.png 37w\" sizes=\"(max-width: 492px) 100vw, 492px\" \/><figcaption id=\"caption-attachment-37731\" class=\"wp-caption-text\">Abb. 3: Word Vorlage &#8222;Red Dawn&#8220; verwendet von Emotet<\/figcaption><\/figure>\n<p>&nbsp;<\/p>\n<p>Der in Emotet Maldocs (Abbildung 5) verwendete Makrocode ist stark verschleiert und \u00e4ndert sich von Probe zu Probe, was die Erkennung dieser Proben erheblich erschwert. Diese Technik ist allgemein als &#8222;Hashbusting&#8220; bekannt und kann nur bei einer Handvoll anderer hochentwickelter Crimeware-Varianten beobachtet werden.<\/p>\n<figure id=\"attachment_37733\" aria-describedby=\"caption-attachment-37733\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-37733 size-large\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-macros-1024x534.png\" alt=\"\" width=\"1024\" height=\"534\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-macros-1024x534.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-macros-300x156.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-macros-768x400.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-macros-1536x801.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-macros-2048x1068.png 2048w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-macros-24x13.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-macros-36x19.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-macros-48x25.png 48w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption id=\"caption-attachment-37733\" class=\"wp-caption-text\">Abb. 5: In der Word-Datei enthaltene Makros, die stark obfuskiert sind<\/figcaption><\/figure>\n<p>&nbsp;<\/p>\n<p>Die erw\u00e4hnte Nutzlast der zweiten Stufe in Abbildung 6 zeigt einige Metadaten der DLL. Auch diese Nutzlast ist stark verschleiert und besteht aus mehreren Modulen. Der Zeitstempel zeigt, dass auch hier die Hashbusting-Technik zum Einsatz kommt. Zum Zeitpunkt der Erstellung dieses Blogposts wurde die Payload erst k\u00fcrzlich kompiliert.<\/p>\n<figure id=\"attachment_37735\" aria-describedby=\"caption-attachment-37735\" style=\"width: 754px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-37735 size-full\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/emotet-die.png\" alt=\"\" width=\"754\" height=\"404\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-die.png 754w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-die-300x161.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-die-24x13.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-die-36x19.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/emotet-die-48x26.png 48w\" sizes=\"(max-width: 754px) 100vw, 754px\" \/><figcaption id=\"caption-attachment-37735\" class=\"wp-caption-text\">Abb 6: Informationen \u00fcber die DLL der zweiten Stufe<\/figcaption><\/figure>\n<h2><\/h2>\n<h2><span class=\"ez-toc-section\" id=\"Ausblick\"><\/span>Ausblick<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Es bleibt abzuwarten, ob Emotet wieder zu alter St\u00e4rke zur\u00fcckfindet, aber wir gehen davon aus, dass sich auch der E5-Botnet-Cluster dem Spam-Fest anschlie\u00dfen wird. Es ist sehr wahrscheinlich, dass sich die Techniken schnell \u00e4ndern werden. In Anbetracht der Tatsache, dass <a  href=\"https:\/\/www.theverge.com\/2022\/2\/7\/22922032\/microsoft-block-office-vba-macros-default-change\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Microsoft vor einiger Zeit Makros weltweit deaktiviert hat<\/a>, w\u00e4re die Verwendung anderer Vorlagen, verschl\u00fcsselter Archive und Dokumente oder sogar von OneNote Notebooks eine Option. Dennoch sollten wir den Angreifern nicht zu viele Anregungen geben.<\/p>\n<p><strong>In jedem Fall wird es f\u00fcr Unternehmen weiterhin h\u00f6chste Priorit\u00e4t haben, den E-Mail-Verkehr genau zu \u00fcberwachen, moderne Sicherheitssoftware wie EDRs einzusetzen und die Angriffsfl\u00e4che zu verringern, indem Office-Makros oder native ausf\u00fchrbare Dateien blockiert werden.<\/strong><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Indicators_of_Compromise\"><\/span>Indicators of Compromise<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>b2bb80310dca2ee1127f4723ca27cf6a59f0243760e139f6f108cdb692b795f7 <strong>PO.doc<\/strong><br \/>\n53477cf7d42a766819d25df062b62aa39d89beba993262b2bd9251d55fdc59dc <strong>PO.zip<\/strong><\/p>\n<p>b3fd2051fc1b96c495d355db0d334436e1c6d4438cd0beab23a5b1cbca869fd2 <strong>PU7syr1XAm.zip<\/strong><br \/>\nefcf59f4423df8fdacbfa8c3d23b6a3e4722bab65c31ea8a7f32daadddfa7adc <strong>VdaN1GI2TTwnq1xfcuZGiVPNHHbdxkEOc.dll<\/strong><\/p>\n<p>&nbsp;<\/p>\n<div class=\"fazit\"><\/p>\n<p><strong>Ben\u00f6tigen Sie Hilfe bei der Abwehr dieser aktuellen Bedrohung? <\/strong>Wir unterst\u00fctzen Sie gerne mit unseren Managed und Co-Managed Detection und Response Services. Kontaktieren Sie unsere <a href=\"https:\/\/testing.secuinfra.com\/contact\/\">Experten online<\/a> oder per Telefon: \u00a0+49 30 5557021 11<\/p>\n<p><\/div>\n","protected":false},"excerpt":{"rendered":"<p>In diesem Newsbeitrag informieren wir \u00fcber die aktuelle Emotet Spam-Kampagne und die Bedrohung, die sie f\u00fcr Unternehmen auf der ganzen Welt darstellt.<\/p>\n","protected":false},"author":6,"featured_media":37723,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[],"dpc_coauthors":[],"class_list":["post-37748","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/37748","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=37748"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/37748\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/37723"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=37748"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=37748"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=37748"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=37748"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}