Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?

Emotet now drops Cobalt Strike, fast forwards ransomware attacks

2021/12/07 BleepingComputer — Emotet による Cobalt Strike Beacon の、ダイレクトなインストールが可能となり、また、ネットワークへのアクセスが可能となり、ランサムウェアによる攻撃が可能となるという、懸念が生じている。Emotet は、悪意の Word/Excel のドキュメントを取り込んだ、スパム・メールを介して拡散していくマルウェアである。

これらのドキュメントは、マクロを悪用して Emotet トロイの木馬をダウンロードし、被害者のコンピュータにインストールし、電子メールを盗み取ることで、デバイス上に別のマルウェアを展開するために使用される。

過去においては、Emotet は感染したデバイスに、TrickBot や Qbotといったトロイの木馬をインストールしていた。これらのトロイの木馬は、感染したデバイス上に Cobalt Strike を展開するなど、悪意のある行為を行っていた。

Cobalt Strike とは、侵害したデバイスに Beacon を配備して、リモートからのネットワーク監視を行い、さらなるコマンドを実行できる、合法的なペネトレーションテスト用ツールキットである。しかし、Cobalt Strike は、そのクラック・バージョンを使用する、脅威アクターの間で非常に人気があり、ランサムウェア攻撃の一環としての、ネットワーク侵入にも悪用される。

Emotet の戦術の変更

今日、Emotet 研究グループである Cryptolaemus は、Emotet が TrickBot/Qbot といった、主要なマルウェアのペイロードを飛ばして、感染させたデバイスに Cobalt Strike Beacon をダイレクトにインストールできるようになったと警告を発した。

メール・セキュリティ企業である Cofense が、BleepingComputer に配信したフラッシュ・アラートによると、あるバージョンの Emotet に感染した場合、Cobalt Strikeがインストールされ、リモート・ドメインに接続しようとした後に、アンインストールされたとのことだ。

Cofense のフラッシュ・アラートは、「本日、一部の感染したコンピュータが、人気のあるポスト・エクスプロイト・ツールである Cobalt Strike を、インストールするコマンドを受け取った」と警告している。

その内容は、「Emotet 自体は、感染したマシンに関する限られた情報を収集するが、Cobalt Strike は広範なネットワークやドメインを評価し、ランサムウェアなどの感染に適した、被害者を探すために悪用されることになる。Cobalt Strike のサンプルが実行されている間に、ドメイン lartmana[.]com への連絡が取られ、その後まもなく、Emotet は Cobalt Strike の実行ファイルをアンインストールした」というものだ。

以前の被害者には、Emotet による TrickBot/Qbot などのインストールが行われた後、Cobalt Strike が展開されるまでの間に、感染を検知する時間があったが、大きな戦術上の変化が生じている。

いまの Emotet では、このような初期のマルウェアのペイロードがスキップされたことで、脅威アクターたちはネットワークに即座にアクセスし、横方向への拡散/データの窃取/ランサムウェアの迅速な展開などが可能になっている。

セキュリティ研究者である Marcus Hutchins は、「これは深刻な事態である。通常、Emotet は TrickBot や QakBot をドロップし、QakBot は Cobalt Strike をドロップしていた。したがって、最初の感染からランサムウェアの感染までには、約1ヶ月を要していた。しかし、Emotet が Cobalt Strike をダイレクトにドロップすることで、その期間は大幅に短縮される」とツイートしている。

この Cobalt Strike の迅速な展開により、侵害されたネットワーク上でのランサムウェアの展開が加速されると思われる。特に、1月に法執行機関によりシャットダウンされた、Emotet の運営者を説得して再起させた、ランサムウェア Conti の一味にとっては朗報になるだろう。

Cofense によると、今回の検出結果が、単なるテストだったのか、あるいは、Emotet による独自のネットワーク監視だったのか、それとも、このボットネットと提携している他のマルウェア・ファミリーの攻撃チェーンの一部だったのかは不明だという。

Cofense は、「Emotet のオペレーターが、自分たちのためにデータを収集するつもりなのか、それとも、他のマルウェアファミリーに属する攻撃チェーンの一部なのかは、まだ分からない。すぐに削除されたことを考えると、テストだったのかもしれない。また、意図的なものではないのかもしれない」と述べている。

じわじわと、Emotet の脅威が迫っていますが、その復活を手助けする TrickBot に加えて、Emotet 自身のブラッシュアップによる、Cobalt Strike のダイレクト・ドロップ機能により、危機感が高まっているようです。最近の記事としては、「Emotet ボットネットの復活をお膳立てする Conti ランサムウェアの役割とは?」や、「Emotet が偽の Adobe インストーラーを介して広まり始めている」などがありますので、よろしければ ご参照ください。

%d bloggers like this: