TrickBot の感染は1年で 14万件:それをベースに Emotet が拡散される可能性が高い

140,000 Reasons Why Emotet is Piggybacking on TrickBot in its Return from the Dead

2021/12/08 TheHackerNews — この高度なトロイの木馬 TrickBot は、2021年初頭にダウンしたボットネット Emotet を復活させる、新たなエントリー・ポイントになりつつある。その TrickBot も解体が試みられたが、それから1年あまりで、149カ国の14万人の被害者に感染したと推定されている。

Check Point Research のレポート why Emotet chose Trickbot for rebirth によると、2020年11月1日以降に検出された被害者は、ポルトガル 18%/米国 14%/インド 5%/ブラジル 4%/トルコ 3%/ロシア 3%/中国 3% となっており、政府機関/金融機関/製造業などが被害を受けた業種の上位にランクインしているようだ。同社では、過去6ヶ月の間に、223種類の TrickBot キャンペーンを検出しており、また、Emotet はランサムウェア攻撃の強力な指標となる。

TrickBot と Emotet は、いずれもボットネットだ。ボットネットとは、マルウェアに感染したデバイスで構成される、インターネット上のネットワークのことであり、様々な悪意のアクティビティを実施するためのタスクを担うものである。

TrickBot は、2016年に Dyre の後継として開発された、C++ で書かれたバンキング型トロイの木馬であり、金融情報/口座情報などの機密情報の窃取や、ネットワーク上での横展開、Conti/Diavol/Ryuk などのランサムウェアのペイロードの投下といった機能を備えている。

TrickBot は、ロシアを拠点とする Wizard Spider グループによるものと考えられており、その機能を拡張することで、完全なモジュール型マルウェアのエコシステムを構築している。昨年末には、米国の Cyber Command と、Microsoft/ESET/Symantec などの民間企業グループが、TrickBot のリーチを鈍らせ、Command and Control サーバーを購入/リースを阻止したことで、TrickBot は政府/民間の注目を集めることになった。

Emotet が新たなトリックで復活

しかし、一連の対応は継続的なものではないため、このマルウェアの作者は、ボットネットのコードに更新を加え、より回復力を高め、さらなる攻撃に適したものにしてきた。さらに、11月と12月には、TrickBot に感染したマシン上で、Emotet マルウェアが急増している。つまり、このボットネットの拡散を阻止するために、法執行機関が一丸となって取り組んだが、そこから 10ヶ月で復活したことを意味している。そして、Emotet は復活にあたって、最適な配信サービスとして Trickbot プラットフォームを選んだのだろう。

最新のスパム攻撃は、パスワードで保護された ZIP アーカイブ・ファイルのダウンロードが、ユーザーに対して促される。このアーカイブ・ファイルは、悪意のドキュメントであり、オープンしてマクロを有効にすると、Emotet マルウェアが展開され、ボットネットネットワークの再構築と大規模化が進んでいく。

Check Point の Head of Threat Intelligence である Lotem Finkelstein は、「Emotet の復活は、ランサムウェアの攻撃が、2022年に向けて急増することへの大きな警告である。 Emotet と協力関係にある Trickbot は、感染した被害者に Emotet を投下することで、そのカムバックを促進している。つまり、Emotet はゼロからではなく、非常に優位なポジションからスタートきた」と述べている。

それに加えて、Cryptolaemus のサイバー・セキュリティ専門家たちによると、その戦術をエスカレートさせたと思われる、新しい Emotet のアーティファクトが発見されており、侵入後のツールをインストールする前に、第一段階のペイロードを投下するのではなく、Cobalt Strike Beacon がダイレクトに投下されるという。

セキュリティ研究者の Marcus Hutchins は、「きわめて深刻である。通常、Emotet は TrickBot や QakBot を投下し、続いて、それらから Cobalt Strike が投下される。したがって、最初の感染からランサムウェア感染にいたるまでには、約1ヶ月の期間がある。しかし、Emotet がダイレクトに Cobalt Strike を投下することで、その期間が大幅に短縮される可能性がある」とツイートしている。

TrickBot に関しては、7月13日の「TrickBot が新しい VNC Module で復活してスパイ活動を再開?」、111月15日の「Emotet が再生/復活:TrickBot を介してインフラを急速に拡大」、12月7日の「Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?」というふうに、最近の動きを追うことができます。よろしければ、TrickBot で検索も、ご利用ください。

%d bloggers like this: