Emotetが5カ月ぶりに攻撃再開

Emotetの攻撃はここ最近落ち着きを見せておりましたが、最後のメールが確認されてから160日が経過し再び攻撃を開始したことを、プルーフポイントのリサーチャーは確認しました。汎用性が高く、広く破壊的な脅威として知られる Emotet の初期バージョンには、銀行認証情報を窃取する詐欺に使用されるモジュールが搭載されており、何年もの間、このマルウェアはバンキング型トロイの木馬として広く分類されていました。しかし、それ以降のバージョンのEmotetは、独自のバンキング・モジュールをロードしなくなり、代わりにサードパーティのバンキング・マルウェアをロードするようになりました。最近では、Qbot、Trick、IcedID、Gootkit などのサードパーティ製のペイロードを配信する Emotet が確認されています。さらに Emotet は、スパムや、認証情報を窃取するクレデンシャルフィッシング、電子メールのハーベスティング(大量のメールアドレスをローカルマシンから収集)機能、ローカル ネットワーク上での拡散のためのモジュールをロードしています。

この記事の公開時点で、Proofpointは2020年7月17日に25万件近くのEmotetメッセージが送信されたことを観測しており、その数は増加を続けています。攻撃者であるTA542は、英語のおとり文書(ルアー)で、米国と英国の複数のインダストリーを標的にしてるようです。これらのメッセージには、悪意のあるMicrosoft Wordの添付ファイルや、Word文書にリンクするURLが含まれています(図1~3を参照)。これらのURLは、多くの場合、侵害されたWordPressホストを示しています。

以前観測されたおとり文書(ルアー)と同様に、これらのメッセージはカスタマイズを最小限に抑えたシンプルなものです。RE: "や "Invoice #"のような件名に偽の請求書番号を付加したものがよく見られ、標的とされている組織の名前が含まれていることがよくあります。

 

one

図1: 悪意あるWord文書の添付ファイルを含んだEメールのルアー

Two

図2: 悪意あるWord文書の添付ファイルを含んだ別のEメールのルアー

Three

図3: 悪意あるマクロを含んだWord文書

マクロを有効にすると、Emotetはダウンロードされ、ユーザーのホストにインストールされます。多くの場合、Emotetは追加のモジュールをダウンロードしてインストールし、資格情報を盗んだり、電子メールを窃取したり、ローカルネットワークに自分自身を拡散させたりします。

サンプルIOC

Emotet C2s

5.196.74.210:8080

209.141.54.221:8080

50.116.86.205:8080

78.24.219.147:8080

210.165.156.91:80

37.187.72.193:8080

157.245.99.39:8080

190.55.181.54:443

37.139.21.175:8080

169.239.182.217:8080

104.236.246.93:8080

200.55.243.138:8080

74.208.45.104:8080

5.39.91.110:7080

79.7.158.208:80

SHA256 Hashes

64b341748b4d7b79976592e9eb4f04444436073d12384d8b98834931e9bc84cf

b7056c2e7ac89807060c5de0d28090f2dc827182433c186bbf8a28355a375627

Emerging Threats Network Signatures

2029380 ET TROJAN Win32/Emotet CnC Activity (POST) M8
2842317 ETPRO TROJAN Win32/Emotet CnC Activity (POST) M9