Informations relatives au malware Emotet

Nous essayerons ici de faire passer un maximum d’alertes de sécurité relatives au SIH, tous les types de cyber attaques
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 5139
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Moulins Yzeure
Fonction : RSSI
DPO / DPD : Non
Site Internet de l'établissement : https://www.ch-moulins-yzeure.fr/
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :
Contacter charles

Rapport sur le trojan bancaire EMOTET

Message par charles » 28 oct. 2019 08:54

Le CERT national australien a publié le 24/10/2019 un rapport détaillé sur le cheval de Troie bancaire EMOTET qui continue de sévir cinq ans après sa première apparition.

On retrouve pas mal d'informations, notamment, une liste d'indicateurs de compromission :

Code : Tout sélectionner

IP   |   URL   |   Fichier
115.29.64.127   |   https://gaosanxuexi[.]com/css/q3z3ljo394/    |   Message_20191010_23295.doc
116.202.102.192   |   https://careervsjob[.]com/wp-content/0nzppxq49   |   Report_20191010_3621589.doc
151.106.5.57   |   https://kaaryathalo[.]com/wp-content/231/    |   lumberdom[.]exe
167.114.190.45   |   https://miraigroupsumatera[.]com/wp-includes/wkcw90205/   |   828[.]exe
96.125.173.81   |   http://www.cbdnewsdirect[.]com/wordpress/5l1kpx45/    |   comments 20191022 TE152.doc
179.62.18.56   |   http://179[.]62[.]18[.]56/enabled/mult/sess/   |   message-20191022-U8868.doc
181.81.143.108   |   http://181[.]81[.]143[.]108/taskbar/loadan/sess   |   NOTICE.doc
183.82.97.25   |   http://183[.]82[.]97[.]25/entries/pdf/sess/merge/   |   Details_20191022_977.doc
187.155.233.46   |   http://187[.]155[.]233[.]46/devices/chunk/sess/   |   Details-20191022-634.doc
189.166.68.89   |   http://187[.]188[.]166[.]192/schema/merge/sess/merge/   |   details-VWQ7547.doc
189.129.4.186   |   http://189[.]129[.]4[.]186/enable/   |   MAIL_20191022_9687527.doc
190.117.206.153   |   http://189[.]166[.]68[.]89/jit/entries/sess/merge/   |   pack 20191022 1465.doc
190.19.42.131   |   http://190[.]117[.]206[.]15/publish/vermont/   |   NOTICE-X19423.doc
190.230.60.129   |   http://190[.]19[.]42[.]131/ban/   |   Doc_20191022_ANX420.doc
190.38.14.52   |   http://190[.]230[.]60[.]129/splash/   |   mail.eml
211.229.116.97   |   http://190[.]38[.]14[.]52/prep/ban/sess/   |   DETAILS-20191022-EG4120.doc
217.113.27.158   |   http://211[.]229[.]116[.]97/ringin/pnp/sess/   |   TYP3318H45_22_10.doc
46.163.144.228   |   http://217[.]113[.]27[.]158/stubs/rtm/sess/merge/   |   Doc_20191022_095.doc
81.169.140.14   |   http://46[.]163[.]144[.]228/raster/results/sess/   |   NOTICE_2019_10_22.doc
86.42.166.147   |   http://81[.]169[.]140[.]14/entries/stubs/sess/merge/   |   SCAN 2019_10_22 974928.doc
27.121.66.123   |   http://86[.]42[.]166[.]147/taskbar/   |   MES_20191022_Y755968.doc
189.80.134.122   |   hxxp://mcivor.gen[.]nz/Invoice-for-u/l-03/12/2018/   |   list 20191022 9066144.doc
27.121.66.123   |   http[:]//icv[.]edu[.]au/wp-includes/RH_Xw/   |   0007963686_22_Oct_2019.doc
103.74.118.106   |   https[:]//hatmem[.]com/wp-content/v_6h/   |   ST_3863181469_Oct2019.doc
17.254.6.27   |   http[:]//driveless[.]pt/wp-content/PB_D/   |   PACK-2019_10_22-OHO817.doc
77.237.248.136   |   jacobsondevelopers[.]com   |   file_20191022_554213.doc
186.4.174.25   |   hxxp://ausgoods[.]net/Statement/Invoice-81576970788-06-20-2018/�    |   10046469060_HNM.doc
190.106.97.230   |   hxxp://mcivor.gen[.]nz/Invoice-for-u/l-03/12/2018/   |   Info 2019_10_22 Y1962.doc
103.75.66.255   |   hXXp[:]//151[.]106[.]5[.]57/   |   comments-20191022-4884.doc
N.C   |   N.C   |   NOTICE 2019_10_22 GFS0021.doc
N.C   |   N.C   |   INFO 2019_10_22 16833.doc
N.C   |   N.C   |   Data 4861.doc
N.C   |   N.C   |   Mail 2019_10_22 R357497.doc
N.C   |   N.C   |   ATTACHMENTS_587852_L986.doc
N.C   |   N.C   |   FILE_20191022_TSC52788.doc
N.C   |   N.C   |   DOC 2019_10_22 V6829.doc
N.C   |   N.C   |   SCAN_2019_10_22_Y231927.doc
N.C   |   N.C   |   MES 20190920 0778481.doc
N.C   |   N.C   |   DOCUMENT K985.doc
N.C   |   N.C   |   Info_2019_10_10.doc
N.C   |   N.C   |   Mail_20191011_8834084.doc
N.C   |   N.C   |   MES__RTH403404.DOC
N.C   |   N.C   |   NETUTILS.doc
N.C   |   N.C   |   Message.doc
N.C   |   N.C   |   info 2019_09_20 88505.doc
La liste est téléchargeable aux formats :

PDF : https://www.cyber.gov.au/media/1256
CSV : https://www.cyber.gov.au/media/1257

Rapport complet : https://www.cyber.gov.au/threats/adviso ... e-campaign
Haut
Avatar du membre
charles
Administrateur du site
Messages : 5139
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Moulins Yzeure
Fonction : RSSI
DPO / DPD : Non
Site Internet de l'établissement : https://www.ch-moulins-yzeure.fr/
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :
Contacter charles

Emocheck : un scanner pour Emotet

Message par charles » 04 févr. 2020 08:37

Le CERT national Japonais propose un outil permettant de rechercher la présence du cheval de Troie Emotet sur une machine Windows :

https://github.com/JPCERTCC/EmoCheck/releases

Pour rappel Emotet est associé au rançongiciel Ryuk dans certaines attaques.
Haut
michael
Messages : 190
Enregistré le : 12 févr. 2016 13:38
Etablissement : CHU Nimes
Fonction : RSSI
DPO / DPD : Non

Re: Emocheck : un scanner pour Emotet

Message par michael » 10 févr. 2020 08:43

Pour ce que j'en ai lu, les dev derrière Emotet ont mis à jour pour passer outre cette détection.
Haut
Avatar du membre
charles
Administrateur du site
Messages : 5139
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Moulins Yzeure
Fonction : RSSI
DPO / DPD : Non
Site Internet de l'établissement : https://www.ch-moulins-yzeure.fr/
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :
Contacter charles

Emocheck V0.0.2 + Emotet-Locker by Cybereason

Message par charles » 11 févr. 2020 08:21

C'est la course à l’échalote pour ne pas changer !

Une V.0.0.2 d'Emocheck a justement été publiée hier, avec de nouvelles options, mais je ne sais pas si elle résout ce problème de détection.

Dans la série, Cybereason a publié un outil permettant de bloquer le déploiement d'Emotet dans sa phase 1, mais je n'ai pas de retour dessus :

https://github.com/cybereason-labs/gsoc ... tet-locker
Haut
Avatar du membre
charles
Administrateur du site
Messages : 5139
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Moulins Yzeure
Fonction : RSSI
DPO / DPD : Non
Site Internet de l'établissement : https://www.ch-moulins-yzeure.fr/
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :
Contacter charles

Informations relatives au malware Emotet

Message par charles » 13 févr. 2020 08:39

J'ai rassemblé ici plusieurs messages relatifs au malware Emotet, je vous propose désormais de recenser ici les informations relatives à Emotet, longtemps utilisé comme cheval de Troie bancaire, mais permettant également l'exfiltration de credentials, la compromission de l'Active Directory, ainsi que le déploiement d'autres logiciels malveillants, comme le rançongiciel Ryuk par exemple.
Haut
Avatar du membre
charles
Administrateur du site
Messages : 5139
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Moulins Yzeure
Fonction : RSSI
DPO / DPD : Non
Site Internet de l'établissement : https://www.ch-moulins-yzeure.fr/
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :
Contacter charles

Nouvelle fonctionnalité Emotet : propagation via Wifi

Message par charles » 13 févr. 2020 08:50

Un nouveau rapport publié le 07/02/2020 par Binary Defense présente une nouvelle fonctionnalité du malware Emotet qui permet désormais une propagation via les réseaux Wifi à proximité des machines victimes :

emotet_attack.jpg

À noter également, deux nouvelles adresses IP de serveurs C2 associés à Emotet :

Code : Tout sélectionner

87[.]106[.]37[.]146
45[.]79[.]223[.]161
Lien vers le rapport complet : https://www.binarydefense.com/emotet-ev ... -spreader/
Vous n’avez pas les permissions nécessaires pour voir les fichiers joints à ce message.
Haut
Avatar du membre
charles
Administrateur du site
Messages : 5139
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Moulins Yzeure
Fonction : RSSI
DPO / DPD : Non
Site Internet de l'établissement : https://www.ch-moulins-yzeure.fr/
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :
Contacter charles

Emotet est de retour

Message par charles » 22 juil. 2020 08:26

De nouvelles campagnes de distribution du cheval de Troie Emotet sont en cours ! Des liens vers Trickbot et Qakbot ont été établis.

Soyez vigilants !

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Haut
Avatar du membre
charles
Administrateur du site
Messages : 5139
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Moulins Yzeure
Fonction : RSSI
DPO / DPD : Non
Site Internet de l'établissement : https://www.ch-moulins-yzeure.fr/
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :
Contacter charles

Re: Informations relatives au malware Emotet

Message par charles » 19 août 2020 16:21

Une nouvelle version de l'outil Emocheck développé par le CERT national japonais est disponible depuis le 10/08/2020, il s'agit de la version 1.0, contenant de nouvelles règles de détection :

https://github.com/JPCERTCC/EmoCheck/re ... tag/v1.0.0
Haut
Avatar du membre
charles
Administrateur du site
Messages : 5139
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Moulins Yzeure
Fonction : RSSI
DPO / DPD : Non
Site Internet de l'établissement : https://www.ch-moulins-yzeure.fr/
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :
Contacter charles

Re: Informations relatives au malware Emotet

Message par charles » 02 nov. 2020 23:30

Le CERT-FR de l'ANSSI a publié le 02/11/2020 un rapport sur le code malveillant Emotet :

http://www.cert.ssi.gouv.fr/uploads/CER ... TI-010.pdf
Haut
Répondre

Retourner vers « Alertes de sécurité - Attaques et infections »