日本プルーフポイント株式会社は11月16日、2022年秋のEmotet復活についての解説記事をブログで発表した。
Emotetマルウェアを配布する攻撃グループ「TA542」は、Proofpointが観測している中で最も配信する攻撃メールの量が多い攻撃グループの1つで、1日あたり数十万通のメールを配信していることを再び確認している。プルーフポイントでは、Emotetの配信方法、地域別の標的を追跡し、EmotetマルウェアおよびIcedIDローダーペイロードの分析を同記事で行っている。
プルーフポイントによると、Emotet送信ボットが毎日配信するメールは約十万通以上と過去の平均値と同等で、Emotet ボットネットが稼働停止の期間中にスパム送信能力を失っていないと推測している。
攻撃グループは活動停止前と同様の国々を引き続き標的にしており、プルーフポイントでは米国、英国、日本、ドイツ、イタリア、フランス、スペイン、メキシコ、ブラジルを標的とした大量の電子メールの送信を一貫して確認しており、受信者の所在地だけでなく、メール本文、件名、ファイル名で現地の言語が適切に使用されていることも確認している。さらにプルーフポイントでは、添付ファイル名からこれまでTA542の一般的な攻撃対象ではなかったギリシャを標的にしていることを確認している。
11月2日のEmotet復帰以降に、TA542が送信したメールに含まれる悪質なコンテンツは、2022年7月の活動停止期間前と同じくExcelの添付ファイル、またはExcelファイルを内部に含むパスワードで保護されたZIPの添付ファイルで、ExcelファイルにはXL4マクロが含まれ、複数の(通常は4つの)組み込みURLからEmotetペイロードをダウンロードする。
新しい点としては、ターゲットにされた標的が、ファイルをOSにとって信頼できる場所として定義されている Microsoft Office Templateの場所にコピーし、代わりにそこから実行するようにとの指示が、Excelファイルに含まれるようになったことを挙げている。
その他、プルーフポイントではEmotet復活のポイントとして下記を挙げている。
・使用されるルアー(おとりテーマ)、Emotetモジュール、ローダー、パッカーへの変更など、Emotetおよびそのペイロードへの複数の変更を観測
・Emotetは感染後に別のマルウェアであるIcedIDをダウンロードすることを確認
・Emotetが主要なマルウェア・ファミリーの配信ネットワークとして機能するよう、完全な機能を取り戻しつつある
・新しいオペレーターや管理者が関与している可能性
