Zscalerのブログ
Zscalerの最新ブログ情報を受信
購読する
要点
- Emotetは、これまでで最も危険で最も広範囲に拡散し、長期にわたって存続した、トロイの木馬型のマルウェアの1つです。
- 2021年1月に法執行機関の共同作戦で、Emotetマルウェアとそのインフラストラクチャーが解体され、このマルウェアに関与した一部の犯罪者が逮捕されました。
- 約1年間の休止期間を経て、Emotetが2021年11月14日に復活し、活動を開始しました。
- マルウェアは、TrickBotマルウェアとメール攻撃を主な手段として拡散しています。
Emotetが、約1年ぶりに活動を再開したことが確認されました。最初のレポートによると、2021年11月14日(日)にTrickBotボットネット経由での拡散が確認され、後のレポートによると、メール攻撃での拡散も確認されました。
Emotetマルウェアは、2014年に始めて検知され、その主な目的は金銭の詐取ですが、最近は、被害者のアクセスを提供する初期アクセスブローカとして、複数のランサムウェアグループに利用されるようになりました。
2021年1月、法執行機関によって、Emotetマルウェアとそのインフラストラクチャが解体され、その背後にいる一部の犯罪者が逮捕されました。これにより、約1年間、このマルウェアが姿を消すことになり、永久に消滅したと考えるセキュリティ研究者もいました。
Threatlabzチームは現在も、関係するペイロードの技術分析を継続していますが、新バージョンのEmotetマルウェアには、多くの面で過去の亜種と類似点があります。Zscalerの簡易分析で、コマンド&コントロールのデータや使用する暗号にいくつかの変更点が確認されました。また、コマンド&コントロール通信には、平文のHTTPではなく、HTTPSが使用されているようです。ほとんどの機能は初期の亜種と同じで、ランサムウェアのオペレータに初期アクセスを提供するという点で、おそらくは以前の状態を引き継いでいるようです。
スパム攻撃
以下のスパムメールのスクリーンショットからわかるように、Emotetは、スパム攻撃で「リプライチェーン」というメール戦略を活用することで開始します。MSワード文書「.docm」、MSエクセル「.xlsm」、パスワードで保護された「.zip」ファイルを添付ファイルとして使用します。
画像1:リプライチェーンメールのスクリーンショット
Zscaler Cloud Sandboxによる検知
画像2:Zscaler Cloudサンドボックスによる検知
MITRE ATT&CKのTTPマッピング
|
戦術 |
技術 |
|
T1010 |
アプリケーションウィンドウの発見 |
|
T1012 |
クエリの登録 |
|
T1018 |
リモートシステムの探索 |
|
T1055 |
プロセスインジェクション |
|
T1036 |
なりすまし |
|
T1057 |
プロセスの発見 |
|
T1082 |
システム情報の発見 |
|
T1055 |
プロセスインジェクション |
|
T1083 |
ファイルとディレクトリの発見 |
|
T1518 |
セキュリティソフトウェアの発見 |
|
T1547 |
LSASSドライバ |
|
T1218 |
Rundll32 |
|
T1562 |
ツールの無効化または変更 |
|
T1564 |
隠しファイル/ディレクトリ |
IoC (Indicator of Compromise、侵害指標)
|
IOC |
注 |
|
c7574aac7583a5bdc446f813b8e347a768a9f4af858404371eae82ad2d136a01 |
参考サンプル |
|
81.0.236[.]93:443 94.177.248[.]64:443 66.42.55[.]5:7080 103.8.26[.]103:8080 185.184.25[.]237:8080 45.76.176[.]10:8080 188.93.125[.]116:8080 103.8.26[.]102:8080 178.79.147[.]66:8080 58.227.42[.]236:80 45.118.135[.]203:7080 103.75.201[.]2:443 195.154.133[.]20:443 45.142.114[.]231:8080 212.237.5[.]209:443 207.38.84[.]195:8080 104.251.214[.]46:8080 138.185.72[.]26:8080 51.68.175[.]8:8080 210.57.217[.]132:8080 51.178.61[.]60:443 168.197.250[.]14:80 45.79.33[.]48:8080 196.44.98[.]190:8080 177.72.80[.]14:7080 51.210.242[.]234:8080 185.148.169[.]10:8080 142.4.219[.]173:8080 78.47.204[.]80:443 78.46.73[.]125:443 37.44.244[.]177:8080 37.59.209[.]141:8080 191.252.103[.]16:80 54.38.242[.]185:443 85.214.67[.]203:8080 54.37.228[.]122:443 207.148.81[.]119:8080 195.77.239[.]39:8080 66.42.57[.]149:443 195.154.146[.]35:443 |
構成済みのC2 |
|
-----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEQF90tsTY3Aw9HwZ6N9y5+be9Xoov pqHyD6F5DRTl9THosAoePIs/e5AdJiYxhmV8Gq3Zw1ysSPBghxjZdDxY+Q== -----END PUBLIC KEY----- -----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE86M1tQ4uK/Q1Vs0KTCk+fPEQ3cuw TyCz+gIgzky2DB5Elr60DubJW5q9Tr2dj8/gEFs0TIIEJgLTuqzx+58sdg== -----END PUBLIC KEY----- |
ECDH/ECDSAキー |
|
-----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE2DWT12OLUMXfzeFp+bE2AJubVDsW NqJdRC6yODDYRzYuuNL0i2rI2Ex6RUQaBvqPOL7a+wCWnIQszh42gCRQlg== -----END PUBLIC KEY----- -----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE9C8agzYaJ1GMJPLKqOyFrlJZUXVI lAZwAnOq6JrEKHtWCQ+8CHuAIXqmKH6WRbnDw1wmdM/YvqKFH36nqC2VNA== -----END PUBLIC KEY----- |
ECDH/ECDSAキー |
|
015a96c0567c86af8c15b3fe4e19098ae9d0ea583e6bc0bb71c344fc993a26cf |
スパム添付ファイル |
|
https://evgeniys[.]ru/sap-logs/D6/ http://crownadvertising[.]ca/wp-includes/OxiAACCoic/ https://cars-taxonomy.mywebartist[.]eu/-/BPCahsAFjwF/ http://immoinvest.com[.]br/blog_old/wp-admin/luoT/ https://yoho[.]love/wp-content/e4laFBDXIvYT6O/ https://www.168801[.]xyz/wp-content/6J3CV4meLxvZP/ https://www.pasionportufuturo[.]pe/wp-content/XUBS/ |
スパム攻撃で使用された、「.docm」または「.xlsm」ファイルに埋め込まれた不正URL |
