「Emotet」テイクダウンから復活 ~ トレンドマイクロが動向やテイクダウン前との違いを解説
トレンドマイクロ株式会社は11月18日、テイクダウンされた「Emotet」の活動再開について、同社ブログで発表した。ラック株式会社も11月19日に、Emotetの攻撃メールの確認を発表している。
脆弱性と脅威
脅威動向
トレンドマイクロでも、Emotetを拡散させるマルウェアスパム、新たなEmotet本体とそのドロッパーの検体、及び遠隔操作サーバ(C&Cサーバ)などの活動再開を確認しているという。
トレンドマイクロによると、Emotetのボットネット再構築の初期段階では、別のボットであるTrickbotからのダウンロードが使用されている。既にEmotetのボットネットからのマルウェアスパム送信の再開も確認済みで、その拡散手法として、テイクダウン前と同様に不正マクロを含むWordもしくはExcel文書ファイルからEmotet本体であるDLLファイルがダウンロードされ、実行される流れを確認している。
不正マクロを含む文書ファイルはメールへの直接添付に加え、パスワード付き圧縮ファイルに含まれている場合も確認しており、その他本文内のURLからダウンロードするケースも報告されている。これらの不正文書ファイルを含むマルウェアスパムの内容は、テイクダウン前と同様、以前に送信したメールの返信形式のものも確認されている。現在は英文のマルウェアスパムのみで、日本語のスパムは観測されていない。Emotet活動再開後に見られた変化として、C&C通信がHTTPからHTTPSになったことを確認している。
ラックではEmotetへの対策として、メールに添付されているOffice文書ファイルを安易に開かない、本文内にあるメールのリンクにはアクセスしないことを挙げ、Office文書ファイルを開封した場合でも、「コンテンツの有効化」ボタンをクリックせずにファイルを閉じるよう注意を呼びかけている。
《ScanNetSecurity》
関連記事
![曖昧な実像 ふくらむ想像/Emotet大捕物/MS Defender推奨事項 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/33290.jpg)
![双葉電子工業のフィリピン子会社が Emotet 感染 ほか ~ 2019 年 11 月のふりかえり [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/29346.png)
関連リンク
特集
アクセスランキング
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
-
訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績
-
タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
-
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR
-
LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
-
雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表
-
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
-
セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信