Emotet復活 プルーフポイント分析、新たにギリシャが標的に | ScanNetSecurity
2022.11.28(月)

Emotet復活 プルーフポイント分析、新たにギリシャが標的に

 日本プルーフポイント株式会社は11月16日、2022年秋のEmotet復活についての解説記事をブログで発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 日本プルーフポイント株式会社は11月16日、2022年秋のEmotet復活についての解説記事をブログで発表した。

 Emotetマルウェアを配布する攻撃グループ「TA542」は、Proofpointが観測している中で最も配信する攻撃メールの量が多い攻撃グループの1つで、1日あたり数十万通のメールを配信していることを再び確認している。プルーフポイントでは、Emotetの配信方法、地域別の標的を追跡し、EmotetマルウェアおよびIcedIDローダーペイロードの分析を同記事で行っている。

 プルーフポイントによると、Emotet送信ボットが毎日配信するメールは約十万通以上と過去の平均値と同等で、Emotet ボットネットが稼働停止の期間中にスパム送信能力を失っていないと推測している。

 攻撃グループは活動停止前と同様の国々を引き続き標的にしており、プルーフポイントでは米国、英国、日本、ドイツ、イタリア、フランス、スペイン、メキシコ、ブラジルを標的とした大量の電子メールの送信を一貫して確認しており、受信者の所在地だけでなく、メール本文、件名、ファイル名で現地の言語が適切に使用されていることも確認している。さらにプルーフポイントでは、添付ファイル名からこれまでTA542の一般的な攻撃対象ではなかったギリシャを標的にしていることを確認している。

 11月2日のEmotet復帰以降に、TA542が送信したメールに含まれる悪質なコンテンツは、2022年7月の活動停止期間前と同じくExcelの添付ファイル、またはExcelファイルを内部に含むパスワードで保護されたZIPの添付ファイルで、ExcelファイルにはXL4マクロが含まれ、複数の(通常は4つの)組み込みURLからEmotetペイロードをダウンロードする。

 新しい点としては、ターゲットにされた標的が、ファイルをOSにとって信頼できる場所として定義されている Microsoft Office Templateの場所にコピーし、代わりにそこから実行するようにとの指示が、Excelファイルに含まれるようになったことを挙げている。

 その他、プルーフポイントではEmotet復活のポイントとして下記を挙げている。

・使用されるルアー(おとりテーマ)、Emotetモジュール、ローダー、パッカーへの変更など、Emotetおよびそのペイロードへの複数の変更を観測
・Emotetは感染後に別のマルウェアであるIcedIDをダウンロードすることを確認
・Emotetが主要なマルウェア・ファミリーの配信ネットワークとして機能するよう、完全な機能を取り戻しつつある
・新しいオペレーターや管理者が関与している可能性

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 埼玉大学でドッペルゲンガードメイン「@gmai.com」に自動転送、約10ヶ月間続く

    埼玉大学でドッペルゲンガードメイン「@gmai.com」に自動転送、約10ヶ月間続く

  2. 「非対称パスワード認証」の実証に成功、パスワード漏えいの脅威を一掃

    「非対称パスワード認証」の実証に成功、パスワード漏えいの脅威を一掃

  3. 田沢医院にランサムウェア攻撃、電子カルテシステムが使用できない状況に

    田沢医院にランサムウェア攻撃、電子カルテシステムが使用できない状況に

  4. サイバー犯罪インテリジェンス企業 KELA社が日本で初めてワークショップ開催、アナリスト池上遥氏 登壇(CPEクレジット付与)

    サイバー犯罪インテリジェンス企業 KELA社が日本で初めてワークショップ開催、アナリスト池上遥氏 登壇(CPEクレジット付与)PR

  5. 契約に反し個人情報取扱事務を再委託、横浜市委託先でPC盗難被害

    契約に反し個人情報取扱事務を再委託、横浜市委託先でPC盗難被害

  6. 庁内グループウェアへの不正ログインを繰り返した職員を戒告処分

    庁内グループウェアへの不正ログインを繰り返した職員を戒告処分

  7. 水道メータ取替業務 委託先社員、業務上知った個人情報もとにLINEで連絡

    水道メータ取替業務 委託先社員、業務上知った個人情報もとにLINEで連絡

  8. 秘匿処理が不十分、三重大学の提出資料 個人情報が閲覧可能な状態に

    秘匿処理が不十分、三重大学の提出資料 個人情報が閲覧可能な状態に

  9. 8大詐欺ワードとは、VISAグローバル調査

    8大詐欺ワードとは、VISAグローバル調査

  10. サプライチェーンのセキュリティマネジメントの現状

    サプライチェーンのセキュリティマネジメントの現状

ランキングをもっと見る