Emotet が再生/復活:TrickBot を介してインフラを急速に拡大

Emotet malware is back and rebuilding its botnet via TrickBot

2021/11/15 BleepingComputer — スパム・キャンペーンや悪意の添付ファイルを介して広まる Emotet は、これまでに最も拡散したマルウェアだと言われてきた。Emotet は、感染したデバイスを悪用して他のスパム・キャンペーンを行い、QakBot (Qbot)/Trickbot マルウェアなどのペイロードをインストールしていた。これらのペイロードは、その後に、Ryuk/Conti/ProLock/Egregor などのランサムウェアを展開する脅威アクターのための、初期アクセスに使用されてきた。

今年のはじめ、Europol と Eurojust が連携した国際的な法執行活動により、Emotet のインフラを乗っ取り、2人の実行犯が逮捕された。2021年4月25日にドイツの法執行機関は、この乗っ取ったインフラを利用して、感染したデバイスからマルウェアをアンインストールする、Emotet モジュールを配信した。

法執行機関による操作の後に Emotet が復活

今日のこと、Cryptolaemus/GData/Advanced Intel の研究者たちは、TrickBot マルウェアに感染したデバイス上に、Emotet 用のローダーがドロップされているのを確認した。これまでにも、Emotet は TrickBot をインストールしていたが、今回の脅威アクターは Operation Reacharound と呼ばれる方法で、TrickBot の既存インフラを利用して、Emotet ボットネットを再構築している。

Emotet の専門家であり、Cryptolaemus の研究者である Joseph Roosen は BleepingComputer に対して、Emotet ボットネットがスパム活動を行った形跡は見られず、マルウェアをドロップしたとする、悪意の文書も見つかっていないと述べている。このようにスパム活動が見られないのは、Emotet のインフラをゼロから再構築し、将来のスパム・キャンペーンにより、被害者から新たな返信用チェーン・メールを、盗み出そうとしているためだと考えられる。

Emotet の研究グループである Cryptolaemus は、新しい Emotet ローダーの分析を開始し、以前の亜種と比較して新たな変更点が含まれている。今のところ、コマンド・バッファが変更されていることが確認できている。これまでの3〜4コマンドから7コマンドへと拡張されている。ダウンロードしたバイナリに対して、様々な実行オプションがあるようだ (dll だけではない) 」と述べている。

また、Advanced Intel の Vitali Kremez は、新しい Emotet ドロッパーを分析し、このマルウェア・ボットネットの再興により、ランサムウェアの感染が急増するだろうと警告している。Kremez は BleepingComputer に対して、「コモディティ・ローダーのエコシステムが不足していることを考えると、世界的に大規模なランサムウェアの運用を促進する、Emotet マルウェアの活動が差し迫っていることの初期の兆候だ。また、Emotet を逮捕しても、敵対者によるマルウェア・ビルダーの入手を阻止しできず、また、それを復活させるバックエンド・システムを阻止できなかったことが背景にある」と述べている。

TrickBot が投下した Emotet ローダーのサンプルは、Urlhaus で見ることが可能となっている。Kremez が BleepingComputer に語ったところによると、現在の Emotet ローダー DLL のコンパイル・タイムスタンプは “6191769A (Sun Nov 14 20:50:34 2021) “となっている。

新しい Emotet ボットネットを防御する

残念ながら、新しい Emotet のインフラは急速に拡大しており、246台以上の感染したデバイスが、すでに Command and Control サーバーとして機能している。マルウェアを追跡する非営利団体 Abuse.ch は、新しい Emotet ボットネットが利用する Command and Control サーバーのリストを公開し、関連する IP アドレスをネットワーク管理者がブロックすることを強く推奨している。

嫌なヤツが帰ってきましたね。実態を把握させないために、インフラをゼロから構築して、しかも機能を強化しているとのことです。そして、現在の Emotet ローダー DLL のコンパイル・タイムスタンプは “6191769A (Sun Nov 14 20:50:34 2021) ” とのことなので、着々と準備を進めているのでしょう。要注意です。

%d bloggers like this: