Emotet の新バージョンは奇抜な IP アドレス形式により検知を回避する

Emotet Now Using Unconventional IP Address Formats to Evade Detection

2022/01/23 TheHackerNews — マルウェア Emotet を用いたソーシャル・エンジニアリング・キャンペーンにおいて、セキュリティ・ソリューションによる検知を逃れるための、従来とは異なる IP アドレス形式が、初めて使用されたことが確認されている。Trend Micro の Threat Analyst である Ian Kenefick は、金曜日に発表したレポートの中で、IP アドレスの 16進数および8進数での表現が使用されており、これらの表現がオペレーティングシステムで処理されると、リモート・サーバーからのリクエストを開始するために、ドット付きの 10進数表現に自動的に変換されると述べている。

このキャンペーンの感染チェーンは、これまでの Emotet 関連の攻撃と同様に、ユーザーを騙してドキュメントのマクロを有効にし、マルウェアの実行を自動化することを目的としている。このドキュメントでは、脅威アクターが何度も悪用しながらマルウェアを配信してきた、Excel 4.0 のマクロが使用されている。

マクロを有効にすると、”^ (caret)” で難読化された URL が呼び出され、ホストには IP アドレスの16進数表現である “h^tt^p^:/^/0xc12a24f5/cc.html” が組み込まれ、リモート・ホストから HTML application (HTA) のコードが実行される。このフィッシング攻撃の2つ目の亜種も、同じ方法を用いるが、IPアドレスが 8進法で “h^tt^p^:/^/0056.0151.0121.0114/c.html” とコード化されていることが、唯一の違いとなる。

Kenefick は、「16進数や 8進数の I Pアドレスの、このような型破りな使い方は、パターン・マッチングに依存する現在のソリューションを、回避するという結果をもたらすかもしれない。このような回避技術は、パターンベースの検知ソリューションを妨害するために、攻撃者が技術革新を続けている証拠と考えられる」と述べている。

今回の、IP アドレスに関する開発は、法執行機関の協調的な活動を受けて 10カ月間ほど中断していた Emotet の活動が、昨年末から再開されたことを受けたものだ。2021年12月に研究者たちは、このマルウェアが戦術を進化させ、侵入したシステムに Cobalt Strike Beacon をダイレクトに投下している証拠を発見した。

また、今回の調査結果は、セキュリティ上の脅威から顧客を守るために、Microsoft の Excel 4.0 (XLM) マクロが、デフォルトで無効になるという計画を明らかにした後に発表された。先週に Microsoft は、「この設定により、Excel (Build 16.0.14427.10000) では、Excel 4.0 (XLM) のマクロがデフォルトで無効になる」と発表している。

脅威アクターたちの、進化のスピードが止まりません。いろいろと考えるものです。つい先日に、「Microsoft Excel 4.0 マクロはディフォルトで OFF:マルウェア対策の一環」という記事をポストしましたが、この Emotet のバージョンに対応するための、変更だったのですね。なお、Emotet に関しては 2021年12月だけで、「Emotet が偽の Adobe インストーラーを介して広まり始めている」、「Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?」、「TrickBot の感染は1年で 14万件:それをベースに Emotet が拡散される可能性が高い」、「Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している」というふうに、4本も記事があります。要注意ですね。

%d bloggers like this: