ボット型マルウェア「EMOTET」はサイバーセキュリティ業界でその名を馳せています。EMOTETを背後で操るオペレータが、スパムメールを使ってシステムを侵害した後、それらのシステムへのアクセス権を販売することに成功した為です。これはマルウェアをサービスとして提供する悪名高い手口「Malware as a Service(MaaS)」の一環として、MaaS利用者の不正ペイロードをEMOTETに配信させることで実施されました。バンキングマルウェア「Trickbot」や、ランサムウェア「Ryuk」/「Conti」などの悪名高い脅威の背後にいるオペレータは、自身の攻撃活動にEMOTETを用いた攻撃者グループの1つです。
続きを読む現在、国内で最も大きな脅威となっているマルウェアとして「EMOTET」が挙げられます。本ブログでもこれまで、EMOTETに関する様々な注意喚起と解析記事を取り上げてまいりました。EMOTETの主な拡散経路はマルウェアスパム、つまりメール経由です。EMOTETの攻撃メールのほとんどで、不正マクロを含むOffice文書ファイルを添付ファイルなどの形式で開かせる手口が使われてきました。これに加えこの4月末からは、Windowsのショートカットリンク(.lnk)ファイルを悪用する新たな手口も確認しています。本記事ではこのEMOTETの、不正マクロを含むOffice文書ファイル、ショートカットリンクファイルの双方の手口に対して弊社トレンドマイクロの検出技術がどのように有効であるのかを検証いたしました。検証にあたっては、当社のサポートケースでご提供いただいた検体やインターネット上から入手可能なサンプルを使用しました。またトレンドマイクロの検出技術としては、クロスレイヤの検知と対応(XDR)機能を搭載する脅威防御のプラットフォーム「Trend Micro Vision One™」を用いました。検証のシナリオとしては、添付ファイルに対し従来型検出技術(パターンマッチング)が未対応のタイミングでEMOTETのマルウェアスパムが着信し、利用者が添付ファイルを開いてしまった場合を想定します。
続きを読むマルウェア「EMOTET」の活動に変化が見られました。新たにEMOTETの活動に悪用されたのはWindowsのショートカットリンク(.lnk)ファイルです。このようなショートカットリンクを悪用する手法は、標的型攻撃の中では少なくとも2016年の段階で確認されている手法ですが、EMOTETのマルウェアスパムで確認されたのは初めてです。本項執筆時点の4月28日現在、この不正ショートカットリンクを含むEMOTETスパムはまだ大量送信には至っていませんが、既に中心的な手口となってきているため、本記事をもってこのEMOTETの新たな手口への注意喚起といたします。
図:2022年4月22日以降に確認されたEMOTETスパムの例
添付ファイル内にショートカットリンク(LNKファイル)が含まれている
トレンドマイクロは、16進表記 / 8進表記のIPアドレスを用いてパターンマッチングの検出回避を試みるEmotetスパムキャンペーンを観測しました。どちらのキャンペーンもソーシャルエンジニアリングの手法を用いており、メール受信者を騙して添付ファイルのマクロ機能を有効化させることでマルウェアを自動で実行させます。一連の処理を受け取ったオペレーティングシステム(OS)は、自動的にそれらの値をドット付き10進表記に変換し、外部サーバからの要求を実行します。個人ユーザおよび法人組織は、Emotetからダウンロードされる「TrickBot」や「Cobalt Strike」などの第二段階で配信されるマルウェアを侵入させないためにも、スパムメール / 不正コンテンツの検出機能やブロック機能、および関連する対策機能を有効化してキャンペーンに警戒する必要があります。
続きを読む
この数年、メール経由で拡散するマルウェアの代表格だった「EMOTET」は1月にテイクダウンされたため、メール経由の脅威全体も取るに足らないものになったように思っている方も多いかもしれません。しかし、マルウェアスパムを送信するサイバー犯罪者は別のマルウェアを拡散させるメールの送信を続けています。トレンドマイクロは、2021年3月にマルウェア「BazarCall」と「IcedID」の活動がグローバル全体で急増したことを確認しました。この2つのキャンペーンはどちらも、スパムメールを使用してユーザに不正なファイルをダウンロードさせるよう誘導します。BazarCallはコールセンターを使用するなど、より婉曲的な方法を採用しています。一方、IcedIDは昨年流行したEMOTETと同様に、スパムメールをより本物らしく見せるために実際にやりとりされた電子メールを窃取し再利用します。外部の複数のリサーチャーからもBazarCallとIcedIDが3月にスパムメールキャンペーンで積極的に拡散されていたことが報告されており、トレンドマイクロの調査結果と合致しています。一般的に、グローバル全体で活発化が確認された攻撃キャンペーンは後に日本を攻撃対象として同様の手法で展開されることがあるため注意が必要です。実際、一昨年から国内でのメール拡散が拡大した「EMOTET」も、グローバル全体でキャンペーンの活発化が確認された後に日本を攻撃対象とした日本語のスパムメールが拡散されるようになりました。
図1:「BarzarCall」を拡散させるマルウェアスパムの例
無料お試し期間が終了し支払いが発生するという内容で連絡先電話番号に電話するよう誘導する
2021年1月27日、EUROPOL(欧州刑事警察機構)は、「EMOTET」ボットネットのテイクダウンを発表しました。このテイクダウンはEUROPOLとEUROJUST(欧州司法機構)の調整の下、合わせて8カ国の法執行機関などが共同して行ったものと発表されています。2014年に登場した「EMOTET」は、現在までに日本を含め、世界的に大きな被害を与えてきたボットネットです。今回のテイクダウンは、法人個人を問わずすべてのインターネット利用者の安全に大きく寄与するものと言えます。
.png)
図:EMOTETを感染させる不正マクロを含んだWord文書の例(2020年12月確認) (さらに…)
続きを読むマルウェア「IcedID(アイスドアイディー)」を拡散させる日本語マルウェアスパムが10月末から確認されています。トレンドマイクロが日本時間10月28日時点で確認したIcedIDを拡散させるマルウェアスパムは、件名が「Re:」と返信型になっており、パスワード付き圧縮ファイルが添付されているものでした。その後、11月に入っても、国内でパスワード付き圧縮ファイルを添付したマルウェアスパムの拡散を確認しています。トレンドマイクロ製品における日本国内でのIcedIDの検出台数は、拡散開始の10月27日から11月6日までの10日間で70件強ですが、サポートセンターでは既に数件の感染報告を受けています。JPCERT/CC分析センターのTwitterでも11月6日付で注意喚起が出されており、広範囲に拡散が見られているものと言えます。
セキュリティ製品によってはパスワード付き圧縮ファイルの解凍に対応していないため、検出が回避されて受信者の元にメールが届く可能性があります。パスワード付き圧縮ファイルが添付されているメールは、差出人が自身の関係者であったとしても、安易に開かないようにしてください。マルウェアスパムの特徴は昨年から被害が継続している「EMOTET」を想起させますが、異なるマルウェアであることに注意してください。
図:10月28日に確認されたIcedIDを拡散するマルウェアスパムの例
件名には「Re:」という文字列があり以前のメールへの返信のように
見えるが、以前のメールの内容は含まれていない (さらに…)
※9月7日11時30分IoC情報更新(当初公開9月3日21時)
トレンドマイクロでは弊社を騙る不審なメールが、この9月3日前後から出回っていることを確認しました。弊社のサポートセンターからお客様へお送りするメールにファイルを添付することはありません。弊社から送付されたように見えるメールにおいてファイルの添付があった場合、添付ファイルは実行せず破棄いただきますようお願いします。
サポート情報「【注意喚起】トレンドマイクロを騙る不正プログラム添付メールについて(2020年9月3日)」 (さらに…)
続きを読む
