Emotet の新たな戦略:Microsoft による VBA マクロ制限への対抗策を試している?

Emotet Testing New Delivery Ideas After Microsoft Disables VBA Macros by Default

2022/04/25 TheHackerNews — 大量の Emotet ボットネットを振りまく脅威アクターは、大規模な Malspam キャンペーンに取り込むための、新しい攻撃手法を小規模にテストしており、Microsoft が VBA マクロをデフォルトで無効にしたことに対して、素早く反応している可能性が浮上している。ProofPoint は、このグループの新しい活動を、典型的な行動からの逸脱だと指摘している。つまり、マルウェアを配布するための最新のフィッシング・メールは、典型的な大規模メール・キャンペーンと並行して、より選択的かつ限定的な攻撃を行うものだという、新たな視点を提起している。

Emotet を配布する TA542 (別名 Mummy Spider/Gold Crestwood) というサイバー犯罪グループは、その攻撃基盤を破壊しようとする法執行機関からのプレッシャーを受け、10か月にわたり活動を休止した後に、昨年末に復活を遂げている。

Emotet

それ以降の Emotet キャンペーンは、いくつかの地域で、数千人のユーザーを対象に数万通のメッセージを送っているが、一部のケースでは 100万通を超えるキャンペーンもあるようだ。

今回、ProofPoint が分析した少量のメール・キャンペーンでは、給与をテーマにしたルアーと、Microsoft Excel アドイン (XLL ファイル) を含む ZIP アーカイブをホストする OneDrive URL が使用されており、それを実行していまうと、Emotet ペイロードがドロップされる仕組みになっている。

この新しいソーシャル・エンジニアリング攻撃のセットは、広範な Emotet キャンペーンが休止された 2022年4月4日〜4月19日の間に行われたとされる。

Microsoft Excel/Word 添付ファイルによるマクロ悪用を狙っていない点が、以前に観測された Emotet 攻撃からの大きな変化である。2022 年 4 月からデフォルトで VBA マクロをブロックするという、Microsoft の計画を回避する方法として、この手法から軸足を移していることを示唆している。

Proofpoint の VP of Threat Research and Detection である Sherrod DeGrippo は、「数カ月にわたる一貫性のある活動の後に、Emotet は状況を一変させている。この脅威アクターは、より広範な被害者に配信する前に、小規模で新しい動作をテストしているか、既存の大規模なキャンペーンと並行して、新しい TTP を試している可能性がある。したがって、あらゆる組織は、新しい技術を認識し、それに応じた防御策を確実に実施する必要がある」と述べている。

今年に入ってからは、Emotet の脅威の高まりという背景により、興味深い記事が出ています。2022年3月8日の「Emotet の追跡調査:2021年11月より着実に勢力を回復し 13万台に感染」や、4月13日の「Emotet の 64 Bit 版が登場:悪意のメールは 10倍増:AV ソフトの検出は 32 Bit のみ?」などを読むと、いまの Emotet を取り巻く状況が見えてきます。また、VBA に関する Microsoft の方向転換については、2月7日の「Microsoft の方針転換:Office VBA MoTW マクロはディフォルトで OFF」を、ご参照ください。

%d bloggers like this: