インサイトとリサーチ

Emotetマルウェアの復活

Emotetマルウェアの復活

要点

  • Emotetは、これまでで最も危険で最も広範囲に拡散し、長期にわたって存続した、トロイの木馬型のマルウェアの1つです。
  • 2021年1月に法執行機関の共同作戦で、Emotetマルウェアとそのインフラストラクチャが解体され、このマルウェアに関与した一部の犯罪者が逮捕されました。
  • 約1年間の休止期間を経て、Emotetが2021年11月14日に復活し、活動を開始しました。
  • マルウェアは、TrickBotマルウェアとメール攻撃を主な手段として拡散しています。

Emotetが、約1年ぶりに活動を再開したことが確認されました。最初のレポートによると、2021年11月14日(日)にTrickBotボットネット経由での拡散が確認され、後のレポートによると、メール攻撃での拡散も確認されました。

Emotetマルウェアは、2014年に始めて検知され、その主な目的は金銭の詐取ですが、最近は、被害者のアクセスを提供する初期アクセスブローカとして、複数のランサムウェアグループに利用されるようになりました。

2021年1月、法執行機関によって、Emotetマルウェアとそのインフラストラクチャが解体され、その背後にいる一部の犯罪者が逮捕されました。これにより、約1年間、このマルウェアが姿を消すことになり、永久に消滅したと考えるセキュリティ研究者もいました。

Threatlabzチームは現在も、関係するペイロードの技術分析を継続していますが、新バージョンのEmotetマルウェアには、多くの面で過去の亜種と類似点があります。ゼットスケーラーの簡易分析で、コマンド&コントロールのデータや使用する暗号にいくつかの変更点が確認されました。また、コマンド&コントロール通信には、平文のHTTPではなく、HTTPSが使用されているようです。ほとんどの機能は初期の亜種と同じで、ランサムウェアのオペレータに初期アクセスを提供するという点で、おそらくは以前の状態を引き継いでいるようです。

スパム攻撃

以下のスパムメールのスクリーンショットからわかるように、Emotetは、スパム攻撃で「リプライチェーン」というメール戦略を活用することで開始します。MSワード文書「.docm」、MSエクセル「.xlsm」、パスワードで保護された「.zip」ファイルを添付ファイルとして使用します。

画像1:リプライチェーンメールのスクリーンショット

Zscaler Cloud Sandboxによる検知

画像2:Zscaler Cloudサンドボックスによる検知

MITRE ATT&CKのTTPマッピング

 

戦術

技術

T1010

アプリケーションウィンドウの発見

T1012

クエリの登録

T1018

リモートシステムの探索

T1055

プロセスインジェクション

T1036

なりすまし

T1057

プロセスの発見

T1082

システム情報の発見

T1055

プロセスインジェクション

T1083

ファイルとディレクトリの発見

T1518

セキュリティソフトウェアの発見

T1547

LSASSドライバ

T1218

Rundll32

T1562

ツールの無効化または変更

T1564

隠しファイル/ディレクトリ

 

IOC(Indicator of Compromise、侵害の指標)

 

IOC

c7574aac7583a5bdc446f813b8e347a768a9f4af858404371eae82ad2d136a01

参考サンプル

81.0.236[.]93:443

94.177.248[.]64:443

66.42.55[.]5:7080

103.8.26[.]103:8080

185.184.25[.]237:8080

45.76.176[.]10:8080

188.93.125[.]116:8080

103.8.26[.]102:8080

178.79.147[.]66:8080

58.227.42[.]236:80

45.118.135[.]203:7080

103.75.201[.]2:443

195.154.133[.]20:443

45.142.114[.]231:8080

212.237.5[.]209:443

207.38.84[.]195:8080

104.251.214[.]46:8080

138.185.72[.]26:8080

51.68.175[.]8:8080

210.57.217[.]132:8080

 

51.178.61[.]60:443

168.197.250[.]14:80

45.79.33[.]48:8080

196.44.98[.]190:8080

177.72.80[.]14:7080

51.210.242[.]234:8080

185.148.169[.]10:8080

142.4.219[.]173:8080

78.47.204[.]80:443

78.46.73[.]125:443

37.44.244[.]177:8080

37.59.209[.]141:8080

191.252.103[.]16:80

54.38.242[.]185:443

85.214.67[.]203:8080

54.37.228[.]122:443

207.148.81[.]119:8080

195.77.239[.]39:8080

66.42.57[.]149:443

195.154.146[.]35:443

構成済みのC2

-----BEGIN PUBLIC KEY-----

MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEQF90tsTY3Aw9HwZ6N9y5+be9Xoov

pqHyD6F5DRTl9THosAoePIs/e5AdJiYxhmV8Gq3Zw1ysSPBghxjZdDxY+Q==

-----END PUBLIC KEY-----

 

-----BEGIN PUBLIC KEY-----

MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE86M1tQ4uK/Q1Vs0KTCk+fPEQ3cuw

TyCz+gIgzky2DB5Elr60DubJW5q9Tr2dj8/gEFs0TIIEJgLTuqzx+58sdg==

-----END PUBLIC KEY-----

ECDH/ECDSAキー

-----BEGIN PUBLIC KEY-----

MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE2DWT12OLUMXfzeFp+bE2AJubVDsW

NqJdRC6yODDYRzYuuNL0i2rI2Ex6RUQaBvqPOL7a+wCWnIQszh42gCRQlg==

-----END PUBLIC KEY-----

 

-----BEGIN PUBLIC KEY-----

MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE9C8agzYaJ1GMJPLKqOyFrlJZUXVI

lAZwAnOq6JrEKHtWCQ+8CHuAIXqmKH6WRbnDw1wmdM/YvqKFH36nqC2VNA==

-----END PUBLIC KEY-----

ECDH/ECDSAキー

015a96c0567c86af8c15b3fe4e19098ae9d0ea583e6bc0bb71c344fc993a26cf

スパム添付ファイル

https://evgeniys[.]ru/sap-logs/D6/

http://crownadvertising[.]ca/wp-includes/OxiAACCoic/

https://cars-taxonomy.mywebartist[.]eu/-/BPCahsAFjwF/

http://immoinvest.com[.]br/blog_old/wp-admin/luoT/

https://yoho[.]love/wp-content/e4laFBDXIvYT6O/

https://www.168801[.]xyz/wp-content/6J3CV4meLxvZP/

https://www.pasionportufuturo[.]pe/wp-content/XUBS/

スパム攻撃で使用された、「.docm」または「.xlsm」ファイルに埋め込まれた不正URL

 

最新のデジタルトランスフォーメーションのヒントやニュースをご覧ください。

送信ボタンをクリックすると、ゼットスケーラーの プライバシーポリシーに同意したものとみなされます。