活動再開したEmotetの新たな警告回避手法 Proofpointが効果を考察
Proofpointは2022年11月に活動が再度活発になったEmotetの動向について幾つかの情報アップデートを公開した。Emotetの活動状況や新たな警告回避の手法などについて考察している。
Proofpointは2022年11月16日(現地時間)、同社のブログで2022年11月に活動を再開したマルウェア「Emotet」の動向アップデートを報告した。
Emotetは日本を含む全世界で活動中のマルウェアだ。電子メール経由で感染を拡大する。2019年に世界中で猛威を振るった後、何度か活動が休止する期間があったものの、断続的に被害が続いていた。2021年1月に世界各国の司法当局や法執行当局の共同オペレーションによってテイクダウンに追い込んだ。しかし2021年11月に活動を再開し、2022年6月まで活発化していた。
Emotetは2022年7月13日を境に4カ月ほど活動を休止したが、2022年11月2日に再活動が観測された。電子メール経由で感染を拡大する動きが活発になっており、Proofpointの報告によれば、1日数十万通の電子メール配信を確認している。
Emotetの新たな警告回避手法
Emotetは活動中断前に標的にしていた国を引き続き狙っている。Proofpointが調査した中では、米国や英国、日本、ドイツ、イタリア、フランス、スペイン、メキシコ、ブラジルなどの国が対象となっており、それぞれの国にローカライズしたフィッシングメールで感染を引き起こす。
2022年11月に再活動したEmotetの動きは同年7月までの活動とよく似ているが、以前と比較すると以下の変化が見られた。
- 「Microsoft Excel」(以下、Excel)の添付ファイルによる新たな「ルアー」が使われている
- Emotetバイナリが変更されている
- 不必要な機能を削除して洗練された新しいバージョンのマルウェア「IcedID」ローダをダウンロードしている
- IcedIDに加えてマルウェア「Bumblebee」がダウンロードされたという報告もある
Proofpointによれば、犯罪グループ「TA542」によって送信された電子メールには、ExcelファイルやExcelファイルを含むパスワード付きzipファイルが添付されていた。Excelファイルには複数の組み込みURLからEmotetペイロードをダウンロードする「XL4」マクロが含まれている。
ここまでは2022年7月の活動停止以前と大きく変わらないが、Proofpointは異なる点としてExcelファイルに「Microsoft Office」の「信頼できる場所」にファイルを登録するよう促す指示が含まれることを挙げる。同フォルダからドキュメントを開くと、ユーザーが操作しなくても警告なしにマクロがすぐに実行される。
上記の指示は警告回避の狙いがあるものとみられるが、Proofpointはこの効果を不明としており、「ユーザーが追加のクリックでマクロを有効にする必要はなくなったものの、代わりにファイルの移動を実行し、ダイアログを確認する必要があり、さらにユーザーが管理者権限を持っている必要がある」と説明している。
ProofpointはEmotetの活動が今後も継続すること、現在よりも多くの地域が標的として拡大していくこと、新しい添付ファイルなどを使い新しい亜種や手法が出てくることなどを予測しており、注意を呼びかけている。電子メールの添付ファイルは安易に開かない、URLリンクを安易にクリックしない、少しでも違和感があれば一度手を止めて確認する、使用中のソフトウェアを常に最新版に更新するなど、基本的な取り組みを継続することが推奨される。
関連記事
- Emotetが日本での活動を再開 警告回避に向けた新たな手法を確認
JPCERT/CCは2022年11月2日に、Emotetの感染を促す電子メールを日本で確認したと発表した。電子メールの添付ファイルでマクロを有効化させるための新たな攻撃手法も確認したと報告している。 - VBAマクロ無効化が効果絶大 サイバー犯罪者の攻撃手法に起きた“大きな変化”とは?
Microsoftは2022年2月、Microsoft OfficeにおけるVBAマクロのデフォルト無効化の方針を発表した。Proofpointによれば、この取り組みはサイバー犯罪者の攻撃手法に大きな変化をもたらしたという。 - 2022年に最も使われたパスワードランキングトップ20 今すぐ変更すべきパスワードは?
NordVPNは2022年に使われたパスワードランキングのトップ200を発表した。グローバルの調査結果からユーザーのパスワード傾向が明らかになった。このランキングに入っているパスワードはサイバー攻撃者に悪用される可能性があるため、変更することをお勧めする。 - Google Pixelにロックスクリーンを簡単に回避できるバグ、研究者が発見
研究者がGoogle Pixelに簡単にロックスクリーンを回避できるバグが存在していることを発見した。Google Pixelは通常、指紋やPINコードなどでロックされているが、こうした機能を回避して簡単にロックを解除できることが明らかになった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.