16 進、8 進表記 IP アドレスで検出回避試みる Emotet の手口 | ScanNetSecurity
2026.07.14(火)

16 進、8 進表記 IP アドレスで検出回避試みる Emotet の手口

 トレンドマイクロ株式会社は1月31日、16進表記・8進表記のIPアドレスを用いて検出回避を試みるEmotetの攻撃手口についてブログで解説している。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
URLの難読化にキャレット(^)が用いられている様子
URLの難読化にキャレット(^)が用いられている様子 全 2 枚 拡大写真

 トレンドマイクロ株式会社は1月31日、16進表記・8進表記のIPアドレスを用いて検出回避を試みるEmotetの攻撃手口についてブログで解説している。

 同社では、16進表記・8進表記のIPアドレスを用いてパターンマッチングの検出回避を試みるEmotetスパムキャンペーンを観測している。同キャンペーンではソーシャルエンジニアリングの手法が用いられ、メール受信者を騙して添付ファイルのマクロ機能を有効化させることでマルウェアを自動で実行させる。一連の処理を受け取ったOSは、自動的にドット付き10進表記のIPアドレスに変換し、外部サーバからの要求を実行する。

 トレンドマイクロが発見した検体によると、16進表記のIPアドレスを用いた攻撃活動ではメール受信者が添付ファイルを開く際に「Excel 4.0マクロ」を有効化することで不正活動を開始する。今回の手口ではauto_openマクロを使ってExcelファイルを開くことでマルウェアを実行させている。

 URLは「^」を用いて難読化され、ホストも16進表記のIPアドレスを含んでいるが、トレンドマイクロは正規データ加工ツール「CyberChef」を使ってドット付き10進表記に変換し、「193[.]42[.]36[.]245」を表していることを確認した。

 マクロが実行されると、16進表記のIPアドレスを含むURLを引数としてcmd.exe > mshta.exeを呼び出し、リモートホストからHTMLアプリケーション(HTA)コードをダウンロードし実行する。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  2. アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

    アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

  3. アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

    アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

  4. Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

    Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

  5. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

ランキングをもっと見る
PageTop