Emotet の追跡調査:2021年11月より着実に勢力を回復し 13万台に感染

Emotet growing slowly but steadily since November resurgence

2022/03/08 BleepingComputer — 現時点で 179カ国で 13万台のシステムに感染している Emotetボットネットは、依然として野放し状態で安定的に配布され続けている。かつては 160万台のデバイスを支配下に置いていた、世界的な支配力には遠く及ばないかもしれないが、このマルウェアは今も復活を続けており、日々強力になっていることが示される。Emotet の活動は、2番目のメジャー・バージョンが配布されていた 2019年に停止し、2021年11月に Trickbot の力を借りて復活している。

この復活は、Conti ランサムウェア・ギャングが画策したものであり、企業ネットワークへのイニシャル・アクセスに利用されていることが明らかになっている。Emotet は、初期感染は別として、TrickBot ペイドロードをドロップすることはなく、ネットワークに素早くリモートアクセスするためのペンテスト・ツール Cobalt Strike をドロップするようになった。

Emotet ボットネットの追跡

Black Lotus labs の脅威アナリストたちは、Emotet の Epoch 3 をさらに深く掘り下げ、新機能を特定し、現在の配布パターンをマッピングすることにした。以下に示すように、Emotet ボットネットは 2021年11月にゆっくりと自己再生し始め、2022年1月からのフィッシング・キャンペーンを通じて、はるかに多くの配布が見られるようになった。

Emotet bot distribution shifting up a gear (Black Lotus)

また、新しい Emotet キャンペーンでは、ネットワーク・トラフィックの保護と検証に使用される RSA 暗号に代わり、新しい楕円曲線暗号 (ECC) 方式などの機能が追加されている。さらに、新バージョンでは、C2 サーバーとの接続が確立された後にのみ、プロセス・リスト・モジュールが展開されている。以前の Emotet は、実行中のプロセスのリストを返送するだけだったが、マルウェア作成者は、より優れたシステム・プロファイリングのために、より多くの情報収集機能を追加している。

The malware now beacons additional info about the host (Black Lotus)

緩やかで着実な再構築

Black Lotus の報告によると、Emotet の復活を支えるユニークな C2サーバーは現時点で 200台ほどあり、その数はゆっくりと、しかし着実に増えているとのことだ。C2 サーバーの平均活動日数は、現時点では 29日となっている。

Emotet tier 1 C2s observed in recent months (Black Lotus)

以前の Epoch と同様に、Emotet の C2 インフラの大半は米国とドイツに存在し、次いでフランス/ブラジル/タイ/シンガポール/インドネシア/カナダ/英国/インドとなっている。

Emotet C2 locations (Black Lotus)

ボットの分布では、インド/インドネシア/タイ/日本/南アフリカ/メキシコ/米国/中国/ブラジル/イタリアが中心となっている。

Heatmap of Emotet victims (Black Lotus)

脅威アナリストたちは、このリストの上位を占めている国々の特色として、古くて脆弱な Windows マシンが数多く存在する点を挙げている。Bleeping Computer が 2021年12月に報告したように、Emotet は Windows AppX Installer の脆弱性を悪用して、リモートソースからホストに対して、ダイレクトにアプリをインストールするものだった。

Microsoft は、2021年12月20日の Path Tuesday で、この CVE-2021-43890 として追跡されている問題に対処したが、アップグレードの適用の遅さと、悪用された MSIX ハンドラを維持することの利点を比較し、単に無効にすることを決定した。それでも、Microsoft のアップデート・サーバーへの接続を意図的に遮断している Windows の海賊版は、Emotet のようなマルウェア攻撃に対して脆弱な状態を引きずっている。

Emotet 関連のポストとしては、2021年11月9日の「Emotet ボットネットの復活をお膳立てする Conti ランサムウェアの役割とは?」や、12月7日の「Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?」、12月10日の「Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している」などがあります。よろしければ、Emotet で検索も、ご利用ください。

%d bloggers like this: