Emotet riktas mot svenska organisationer

Spearphishing intrångsförsök

Vi ser tecken på att aktiviteter kopplade till Emotet pågår runtom i Europa, som även riktas mot svenska organisationer. Tillvägagångssättet för intrångsförsöket är att det kommer ett e-postmeddelande (som antingen ser ut som ett svar på ett tidigare mejl, eller att mejlet är vidarebefordrat) med innehåll som ser ut att vara legitimt för den egna organisationen och dess verksamhet. Mejlet ser ut att komma från en kollega/branschperson som man tidigare har varit i kontakt med, och/eller rör ett ämne som man tidigare varit i dialog om.Bifogat är ett dokument som laddar ner skadligt innehåll på datorn/till nätverket genom att få användaren att slå på makron om det inte är påslaget. Ibland är det skadliga dokumentet packat i en lösenordsskyddad zip-fil för att undgå analys i mejl-filter.CERT-SE tar gärna emot information om eventuellt pågående aktivitet i era respektive organisationer.

Uppdatering 2020-09-21

Om er organisation blivit utsatt för ett liknande modus som ovan tar vi gärna emot e-post innehållande skadlig kod som drabbat er. Märk tydligt upp mejlet med ämnesraden [malware] och bifoga de skadliga filerna som en zip-fil med lösenordet “infected”. Mejla till cert@cert.se.

Rekommendationer

De tekniska åtgärder mot angrepp via skadliga mejlbilagor som CERT-SE tidigare detaljerat [1] är fortfarande relevanta. Liksom tidigare är användandet av makron i Office-dokument centralt i angreppssättet.Vi rekommenderar även att begränsa användandet av PowerShell.Användare uppmanas till extra uppmärksamhet kring oväntade e-postmeddelanden eller avsändare. Gör en riskbedömning innan du öppnar ett oväntat meddelande, innan du öppnar en bifogad fil och innan du aktiverar makron. Läs gärna våra tidigare råd angående bedrägliga mejl och intrångsförsök. [2, 3]

Källor

[1] https://www.cert.se/2017/09/cert-se-tekniska-rad-med-anledning-av-det-aktuella-dataintrangsfallet-b-8322-16 [2] https://www.cert.se/2020/03/avsloja-bedragliga-mejl-eller-sms [3] https://www.cert.se/2019/09/guide-om-hur-du-skyddar-dig-mot-microsoft-office-365-phishing-fran-ncsc-fi

IOC:er

Följande domäner används av den skadliga kod med koppling till Emotet som CERT-SE nyligen har tagit del av och som analyserats av våra incidenthanterare. scrappy[.]upsproutmedia[.]com china-specialist[.]com www[.]upsproutmedia[.]com pagearrow[.]com a[.]xuezha[.]cn blog[.]saadata[.]com zeeamfashion[.]com spaharmonizze[.]com jizhiguoren[.]com moyouwang[.]net vip[.]jizhiguoren[.]com digihefaz[.]com dongyabingfu[.]com mugexinxi[.]com geevida[.]com elrofanfoods[.]com volcanict[.]com xmjadever[.]com gbmcleaning[.]com kingchuen[.]com billc46[.]com houtai[.]xiaopbk[.]com gudangalami[.]com webhostingsrilanka[.]info luzzeri[.]com mobithem[.]com planosdesaudesemcarencia[.]com lookuppopup[.]co[.]uk

Uppdatering 2020-09-22

cryptokuota[.]com pinterusmedia[.]com aszcasino[.]com dubai-homes[.]ae whitdoit[.]tk 4life[.]comvn baran-business[.]de espuesta: sasystemsuk[.]com case[.]gonukkad[.]com vandamebuilders[.]comnilinkeji[.]com paganwitch[.]com [.]ekramco[.]ir votesteve[.]us dandyair[.]com tekadbatam[.]com kellymorganscience[.]com tewoerd[.]eu mediainmedia[.]com nuwagi[.]com tfbauru[.]com[.]br aituetraining[.]cl aeropilates[.]cl blog[.]workshots[.]net arsan[.]com[.]br crupie[.]com[.]br vniel[.]co[.]kr marmolhi[.]com comerciopuravida[.]com [.]closmaq[.]com[.]br pulseti[.]com hotelunique[.]com greensync[.]com[.]br muabannodanluat[.]com ora-ks[.]com megasolucoesti[.]com buyparrotsaustralia[.]com dubai-homes[.]ae adventureitdate[.]com blog[.]zunapro[.]com fepami[.]com rhyton-building[.]com ezzll[.]com tellmetech[.]com chengmikeji[.]com 18[.]217[.]198[.]135 portalpymes[.]es www[.]gozowindmill[.]com transfersuvan[.]com arquivopop[.]com[.]br cryptokuota[.]com 4life[.]com[.]vn baran-business[.]de

Hashsummor för analyserade filer

sha256sum:f164edfe353f4cf7654a5ce0fe6ce62fcca2a73454455a392b5210e3ff43de85 sha256sum:11b2ccd92da2aa042d015bf4779df30a6ed5c4da928eda17fdbbe36e44d2eddc sha256sum:b114281a6664f44018353cae8a6f00cea1d34854e2942f01a9e027d2ab333b9d sha256sum:bd089de03b0081c4cbcc665d5baf0f6577a7a0c7c5b2b45da1131330ce26822b

Uppdatering 2020-09-22

MD5: 642291598487674cbf7b1c554651c2b3 MD5: c0f1b7bd7d1b1130456417f45c423e1a MD5: 2f9d7027a13711d00b14e553b17449db MD5: df6f0833ed5105a8c18f2c5ec7b184b7 MD5: 51c3ace36a6aecb69ee28e58c05cca74 MD5: 9458a8bf248c74f206541f893d2d23c5 MD5: b4ea4edccc96e0a9afa304d4871c7639 MD5: 12dcf549d251902ab4e79db7d039d9ea MD5: 95e0891b7448bf928da60983e60c5137 MD5: ef16dc9d189ebc24a078ebb3b0060f29 MD5: a594d30abfd3a3fae5d6b881b26ca686 MD5: 2f26bd89f9db5936931f929036dcd953 MD5: 8E67530E46C17C56C764B88CA806CC65 MD5: E8C65FF9569B9E2B0CDEE07583BC5F9F MD5: 05F3E998AA7487C2DA9FF0EFF90591E7 MD5: 35A058E1983112A1D69355CB5A39D670 MD5: 1EDA35A520AA095449403BB13802959 MD5: A0D9587A3527BD8F4FB540041ED6F1EF MD5: A0D9587A3527BD8F4FB540041ED6F1E MD5: 288B4A7C40717ACBF961EF8738CD2DF4 MD5: 642291598487674CBF7B1C554651C2B3 För fler aktuella IOC:er, se https://paste.cryptolaemus.com/