Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している

Emotet Is Back and More Dangerous Than Before

2021/12/10 DarkReading — アーノルド・シュワルツェネッガーが演じたターミネーターのように、恐ろしいマルウェア Emotet が、再び世界中のコンピュータに感染し、あらゆる組織をランサムウェア攻撃の危険にさらしている。今週、Check Point の研究者たちは、バンキング・トロイの木馬からマルウェアのダウンローダーに変化した Trickbot に感染したシステム上で、Emotet サンプルが投下されているのを確認したと報告している。

マルウェア Emotet は、いくつかの国々の警察が協調してインフラを破壊したが、そこから 10カ月後の 11月15日に、新たな動きが表面化し始めた。11月15日以降に Check Point が発見した、Emotet マルウェアの量は日々増え続けており、2021年1月のテイクダウン以前の量に対して、少なくとも 50% には達しているとのことだ。

このマルウェアは、Trickbot 経由で拡散され、また、感染したシステムから送信される悪意のスパム・メッセージでも拡散されている。こうしたスパム・メールは、悪意のドキュメントを含む、パスワードで保護された ZIP ファイルをユーザーにダウンロードさせ、それがオープンされると Emotet に感染することになる。

問題視される展開

このマルウェアは、2021年1月に駆除される前に、複数のランサムウェア攻撃と関連していた。したがって、その復活は、エンタープライズにとって厄介なことだ。Emotet は、メールアドレスの取得/認証情報の窃取/スパムの配布/横方向の移動/他のマルウェア (Trickbot を含む) のダウンロードなど、悪意のアクティビティを行うよう設計されている。

Check Point の Head of Threat Intelligence である Lotem Finkelstein は、この1月にオフラインに追い込まれる前の Emotet ビジネスモデルは、ネットワークを感染させた後に、そのネットワークへのアクセスを脅威アクターたちに売り渡すというものだったと述べている。

彼は、「2018年〜2020年に、Emotet はランサムウェアの成功を促進したが、2021年後半に復活したということは、2022年への警告サインである。Emotet の感染、あるいは、感染未遂は、将来のランサムウェア感染を推測する上で、初期の指標となる」と述べている。

このマルウェアが休眠状態にあった数カ月の間に、Emotet の作者は機能に手を加え、性能を高めている。その一例は、暗号化された通信に、旧バージョンの脆弱な RSA 暗号ではなく、新バージョンの楕円曲線暗号 (ECC) を使用している点だ。また、Emotet の作者は、正規のソフトウェアを模倣した悪意の Windows アプリのインストーラ・パッケージという形で、最初の感染ベクトルに新たな工夫を加えていると、Check Point のレポートは述べている。

Emotet の復活に警鐘を鳴らしたセキュリティ・ベンダーとしては、Check Point が初めての事例となる。先月に、Deep Instinct は、このマルウェアの再出現について報告し、システム上でのダウンロードの手法や、検知回避のための手口などの、そのアップデートの一部を分析した。

今週になって、Intel 471 は、最新の Emotet 亜種と、以前の Emotet 亜種を比較し、その差異を説明するブログ記事を更新した。この脅威インテリジェンス企業は、新しい Emotet の多くの部分が、1月時点のマルウェアと同じであるとしているが、一部が異なっていることも判明した。たとえば、旧バージョンは、すべてのマルウェアのトラフィックを暗号化するために RSA 鍵で暗号化していたが、新バージョンでは ECC を使用していると、Check Point と同様の見解を述べている。

さらに、Emotet の作者は、通信プロトコルにも変更を加え、新しいプロセスチェック・モジュールを導入し、難読化メカニズムを調整していると、Intel 471 は述べている。重要なのは、現在 Epoch4 と Epoch5 として追跡されている、2種類のボットネットを介して、新しい Emotet が配布されていることだ。

その一方で、Emotet の脅威を追跡してきた、セキュリティ研究者たちの独立グループである Cryptolaemus は、このマルウェアが感染させたシステム上で、Cobalt Strike Beacon をドロップするために使用されていることを確認したと述べている。

新しい亜種の背後には同じ脅威者がいる可能性が高い

Finkelstein は、この最新の亜種の背後に、新しいプレーヤーがいることを示唆するものはないと言う。そして、「少なくとも、古い Emotet の背後にいる犯罪者の一部は、新しい Emotet にも関与している。刷新された Emotet の責任者は、旧バージョンの欠点について熟知してよおり、それを改善するために行動している」と述べている。

サイバー・オペレーターたちが、最も協調的なテイクダウンへ向けて努力したが、Emotet の再登場は、それに対して住めされた最初の回復力の例となった。1月のテイクダウンの時点で、Emotet ボットネットは約160万台のシステムで構成され、マルウェアやスパムの配布、そしてデータの採取など、さまざまな悪意の目的も利用された。感染したホストのうち、約45,000台が米国内に存在していた。ボットネットを管理するための Command and Control インフラは、世界中に散らばる数百台のサーバーで構成されていた。

その時の撤去作業の一環として、米国/英国/カナダ/オランダ/フランスなどの法執行機関が、それぞれの管轄区域に存在する Emotet サーバーを制御した。そして、マルウェアの運営者が感染したシステムの能力を、無力化するソフトウェアをインストールしてきた。また、感染したシステムから Emotet を駆除するための、ソフトウェアを導入するケースもあった。

このマルウェアが復活したことは、Emotet の活動がグローバル化していることを物語っており、米国当局は、すでに数億ドルの被害が発生していると推定している。
Finkelstein は、「彼らは分散したグローバルな組織であるため、この活動を完全に停止させるためには、完璧な同期が必要だ」と述べている。また、この作戦の黒幕を逮捕することも重要だという。

Emotet の再登場は、Trickbot (2016年に銀行トロイの木馬としてスタートし高度なモジュール型マルウェアファミリー)の背後にいる脅威アクターと、その運営者の連携が成功した証でもある。法執行機関は、2020年10月に大規模な取り組みで Trickbot の活動を中断させようとしたが、以前と同様に活動を続けている。Trickbot は、今年の 5月/6月/10月に最も流行したマルウェアであり、この11ヶ月間で世界中の 14万以上のシステムに感染していることが、Check Point の調べで判明している。

Emotet の運営者と同様に、Trickbot の背後にいる脅威アクターも、Ryuk や Conti などの、各種のランサムウェア・キャンペーンに関連していることが判明している。2020年に、Trickbot は Emotet と協調して、Ryuk ランサムウェアの配信キャンペーンを支援し、大規模な被害をもたらした。

Finkelstein は、「Emotet と Trickbot は常に連携していた。彼らは互いにドアを開け、その協力関係をビジネスにしていた。したがって、Trickbot が Emotet の復活を促進したのは当然だ」と付け加えている。

Emotet の高機能化 や Trickbot の組み合わせについては、11月15日の「Emotet が再生/復活:TrickBot を介してインフラを急速に拡大」、12月7日の「Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?」、「TrickBot の感染は1年で 14万件:それをベースに Emotet が拡散される可能性が高い」などでお伝えしてきました。そして、今回の Dark Reading の記事は、さらに深堀りした内容になっています。Emotet に関しては、この後も続報が出てくると思いますので、それらを追いかけていきます。

%d bloggers like this: