Emotet riktas mot svenska organisationer
Vi ser tecken på att aktiviteter kopplade till Emotet pågår runtom i Europa, som även riktas mot svenska organisationer. Tillvägagångssättet för intrångsförsöket är att det kommer ett e-postmeddelande (som antingen ser ut som ett svar på ett tidigare mejl, eller att mejlet är vidarebefordrat) med innehåll som ser ut att vara legitimt för den egna organisationen och dess verksamhet. Mejlet ser ut att komma från en kollega/branschperson som man tidigare har varit i kontakt med, och/eller rör ett ämne som man tidigare varit i dialog om.Bifogat är ett dokument som laddar ner skadligt innehåll på datorn/till nätverket genom att få användaren att slå på makron om det inte är påslaget. Ibland är det skadliga dokumentet packat i en lösenordsskyddad zip-fil för att undgå analys i mejl-filter.CERT-SE tar gärna emot information om eventuellt pågående aktivitet i era respektive organisationer.
Uppdatering 2020-09-21
Om er organisation blivit utsatt för ett liknande modus som ovan tar vi gärna emot e-post innehållande skadlig kod som drabbat er. Märk tydligt upp mejlet med ämnesraden [malware] och bifoga de skadliga filerna som en zip-fil med lösenordet “infected”. Mejla till cert@cert.se.
Rekommendationer
De tekniska åtgärder mot angrepp via skadliga mejlbilagor som CERT-SE tidigare detaljerat [1] är fortfarande relevanta. Liksom tidigare är användandet av makron i Office-dokument centralt i angreppssättet.Vi rekommenderar även att begränsa användandet av PowerShell.Användare uppmanas till extra uppmärksamhet kring oväntade e-postmeddelanden eller avsändare. Gör en riskbedömning innan du öppnar ett oväntat meddelande, innan du öppnar en bifogad fil och innan du aktiverar makron. Läs gärna våra tidigare råd angående bedrägliga mejl och intrångsförsök. [2, 3]
Källor
[1] https://www.cert.se/2017/09/cert-se-tekniska-rad-med-anledning-av-det-aktuella-dataintrangsfallet-b-8322-16 [2] https://www.cert.se/2020/03/avsloja-bedragliga-mejl-eller-sms [3] https://www.cert.se/2019/09/guide-om-hur-du-skyddar-dig-mot-microsoft-office-365-phishing-fran-ncsc-fi
IOC:er
Följande domäner används av den skadliga kod med koppling till Emotet som CERT-SE nyligen har tagit del av och som analyserats av våra incidenthanterare. scrappy[.]upsproutmedia[.]com
china-specialist[.]com
www[.]upsproutmedia[.]com
pagearrow[.]com
a[.]xuezha[.]cn
blog[.]saadata[.]com
zeeamfashion[.]com
spaharmonizze[.]com
jizhiguoren[.]com
moyouwang[.]net
vip[.]jizhiguoren[.]com
digihefaz[.]com
dongyabingfu[.]com
mugexinxi[.]com
geevida[.]com
elrofanfoods[.]com
volcanict[.]com
xmjadever[.]com
gbmcleaning[.]com
kingchuen[.]com
billc46[.]com
houtai[.]xiaopbk[.]com
gudangalami[.]com
webhostingsrilanka[.]info
luzzeri[.]com
mobithem[.]com
planosdesaudesemcarencia[.]com
lookuppopup[.]co[.]uk
Uppdatering 2020-09-22
cryptokuota[.]com
pinterusmedia[.]com
aszcasino[.]com
dubai-homes[.]ae
whitdoit[.]tk
4life[.]comvn
baran-business[.]de
espuesta: sasystemsuk[.]com
case[.]gonukkad[.]com
vandamebuilders[.]comnilinkeji[.]com
paganwitch[.]com
[.]ekramco[.]ir
votesteve[.]us
dandyair[.]com
tekadbatam[.]com
kellymorganscience[.]com
tewoerd[.]eu
mediainmedia[.]com
nuwagi[.]com
tfbauru[.]com[.]br
aituetraining[.]cl
aeropilates[.]cl
blog[.]workshots[.]net
arsan[.]com[.]br
crupie[.]com[.]br
vniel[.]co[.]kr
marmolhi[.]com
comerciopuravida[.]com
[.]closmaq[.]com[.]br
pulseti[.]com
hotelunique[.]com
greensync[.]com[.]br
muabannodanluat[.]com
ora-ks[.]com
megasolucoesti[.]com
buyparrotsaustralia[.]com
dubai-homes[.]ae
adventureitdate[.]com
blog[.]zunapro[.]com
fepami[.]com
rhyton-building[.]com
ezzll[.]com
tellmetech[.]com
chengmikeji[.]com
18[.]217[.]198[.]135
portalpymes[.]es
www[.]gozowindmill[.]com
transfersuvan[.]com
arquivopop[.]com[.]br
cryptokuota[.]com
4life[.]com[.]vn
baran-business[.]de
Hashsummor för analyserade filer
sha256sum:f164edfe353f4cf7654a5ce0fe6ce62fcca2a73454455a392b5210e3ff43de85
sha256sum:11b2ccd92da2aa042d015bf4779df30a6ed5c4da928eda17fdbbe36e44d2eddc
sha256sum:b114281a6664f44018353cae8a6f00cea1d34854e2942f01a9e027d2ab333b9d
sha256sum:bd089de03b0081c4cbcc665d5baf0f6577a7a0c7c5b2b45da1131330ce26822b
Uppdatering 2020-09-22
MD5: 642291598487674cbf7b1c554651c2b3
MD5: c0f1b7bd7d1b1130456417f45c423e1a
MD5: 2f9d7027a13711d00b14e553b17449db
MD5: df6f0833ed5105a8c18f2c5ec7b184b7
MD5: 51c3ace36a6aecb69ee28e58c05cca74
MD5: 9458a8bf248c74f206541f893d2d23c5
MD5: b4ea4edccc96e0a9afa304d4871c7639
MD5: 12dcf549d251902ab4e79db7d039d9ea
MD5: 95e0891b7448bf928da60983e60c5137
MD5: ef16dc9d189ebc24a078ebb3b0060f29
MD5: a594d30abfd3a3fae5d6b881b26ca686
MD5: 2f26bd89f9db5936931f929036dcd953
MD5: 8E67530E46C17C56C764B88CA806CC65
MD5: E8C65FF9569B9E2B0CDEE07583BC5F9F
MD5: 05F3E998AA7487C2DA9FF0EFF90591E7
MD5: 35A058E1983112A1D69355CB5A39D670
MD5: 1EDA35A520AA095449403BB13802959
MD5: A0D9587A3527BD8F4FB540041ED6F1EF
MD5: A0D9587A3527BD8F4FB540041ED6F1E
MD5: 288B4A7C40717ACBF961EF8738CD2DF4
MD5: 642291598487674CBF7B1C554651C2B3
För fler aktuella IOC:er, se https://paste.cryptolaemus.com/