Emotet の 64 Bit 版が登場:悪意のメールは 10倍増:AV ソフトの検出は 32 Bit のみ?

Emotet botnet switches to 64-bit modules, increases activity

2022/04/19 BleepingComputer — Emotet マルウェアの配布が急増しているが、現時点のアンチウイルス・エンジンでは少量のみが検出されている、新しいペイロードに間もなく切り替わる可能性もある。2022年3月のことだが、このボットネットを追跡するセキュリティ研究者が、悪意のペイロードを含む電子メールの量が、10倍に増加したことを観察している。Emotet は、ホスト上で持続性をキープし自己増殖する、モジュール型トロイの木馬である。

機能としては、ユーザーデータ窃盗/ネットワーク偵察/横方向への移動などがあるが、さらに、追加ペイロードの取得機能もあり、特に Cobalt Strike やランサムウェアのドロップなどに用いられる。2022年に入ってからは徐々に、しかし着実に、成長していることが確認されているが、その運営者は動きを加速させようとしているようだ。

悪意のメール流通量が急増

今日、Kaspersky が発表したレポートによると、Emotet の活動は2月から3月にかけて急増しており、メールの量は 3,000通から 30,000通へと増加している。これらのメッセージで用いられる言語は、英語/フランス語/ハンガリー語/イタリア語/ノルウェー語/ポーランド語/ロシア語/スロベニア語/スペイン語/中国語である。

Emotet のオペレーターはテーマについて、季節的な移り変わりを利用し、定期的に興味を引くようにしている。今回は、イースター (復活祭) にちなんだものだ。この件に関しては Check Point もレポートを発表しており、2022年3月に最も流行した活発なマルウェアとして、Emotet を1位に挙げている。

Emotet email using Easter lures on many languages
Emotet email using Easter lures on many languages
(Check Point)

Kaspersky の研究者たちは、「このサイバー犯罪者は、すでに存在する通信を傍受し、ファイルやリンクを含むメールを受信者に送信する。このメールは、多くの場合、正規の人気クラウド・ホスティング・サービスにつながる。このメールの目的は、① リンクをたどりアーカイブされたドキュメントをダウンロードさせ、メールに記載されたパスワードを用いて開かせる ② 単にメールの添付ファイルを開くよう、ユーザーを説得することだ」と指摘している。

脅威アクターは、過去の通信にアクセスできるため、受信者が同僚との議論の続きとして、期待するような添付ファイルを提示することは、それなりに容易なのである。

64 Bit への移行

Emotet ボットネットの活動を注視している、Cryptolaemus セキュリティ研究グループによると、このマルウェアの運営者は、別のインフラ上で動作するボットネットの、サブグループの1つである Epoch 4 でも、ローダーなどのモジュールを 64 Bit に切り替えたそうだ。以前は、32 Bit のコードのみに依存していた。

Emotet Update – 2022/04/18 14:00 UTC – Epoch 4 の Emotetは、64 Bit loaders/stealer モジュールの使用に切り替わった。以前は、すべて 32 Bit だった。1/x- Cryptolaemus (@Cryptolaemus1) April 19, 2022

Epoch 5 は切り替えられていないようだが、Epoch 4 は Emotet オペレーターの開発テスト・ベッドとして機能することが多いため、この遅れは予想通りだと Cryptolaemus の研究者は述べている。すでに、Epoch 4 の検出率は 60% ほど低下しており、この変更が直接の原因だと考えられている。

この BleepingComputer に限らず、最近のセキュリティ系のメディアを眺めていると、Emotet の脅威が迫っている感じがヒシヒシと伝わってきます。悪意のメールが増えたうえに、64 Bit 化が進み検出が追いついていないとなると、かなり自体は深刻と言えるでしょう。最近の記事としては、2021年12月10日の「Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している」、2021年1月23日の「Emotet の新バージョンは奇抜な IP アドレス形式により検知を回避する」、3月8日の「Emotet の追跡調査:2021年11月より着実に勢力を回復し 13万台に感染」などがあります。よろしければ、Emotet で検索も、ご利用ください。

%d bloggers like this: