Emotet の新戦術:Windows ショートカット・ファイル内の PowerShell を介して展開される

Emotet malware now installs via PowerShell in Windows shortcut files

2022/04/26 BleepingComputer — 現時点における Emotet ボットネットは、PowerShell コマンドを取り込んだ Windows ショートカット・ファイル (.LNK) を介して、被害者のコンピュータを感染させるという戦術をとっている。つまり、現在はデフォルトで無効になっている Microsoft Office マクロから、新たな作戦へと移行している。これまでも、Emotet は Visual Basic Script (VBS) と .LNK ファイルを組み合わせて、ペイロードをダウンロードするコマンドを構築したので、Windows ショートカットの使用は目新しいものではない。しかし、それにより PowerShell コマンドを、ダイレクトに実行したのは今回が初めてとなる。

キャンペーン失敗後の新手法

先週の金曜日に Emotet オペレーターは、悪意の .LNK ショートカットを参照する、静的なファイル名の使用によりインストーラが失敗したことで、フィッシング・キャンペーンを中止させた。このショートカットを起動すると、VBS コードの文字列を抽出し、それを VBS ファイルに追加して実行するコマンドが起動する。しかし、配布されたショートカット・ファイルは、探していた静的なものとは異なる名前であり、VBS ファイルの作成に失敗していたが、この問題は昨日に修正されている。

今日になってセキュリティ研究者たちは、Emotet が LNK ファイルに添付された PowerShell コマンドを用いて、感染させたコンピュータ上でスクリプトをダウンロード/実行する、新しい手法に切り替えたことに気づいた。.LNK ファイルに付加された悪意の文字列は、難読化され、ヌルでパッドされているため、ファイルのプロパティ・ダイアログ・ボックスの、ターゲット・フィールド ショートカットが指すファイル) には表示されない。

Emotet using PowerShell in LNK files
source: BleepingComputer

Emotet の悪意の .LNK ファイルには、PowerShell スクリプトのペイロードを格納に使用される、複数の侵害済み Web サイトの URL が含まれている。ここで定義された場所の、いずれかにスクリプトが存在する場合、ランダムな名前を持つ PowerShell スクリプトとして、システムの temp フォルダにダウンロードされる。以下は、Emotet が .LNK ペイロードに添付した、悪意の文字列の難読化を解除したバージョンでる。

Emotet's malicious string with PowerShell commands attached to LNK file
source: BleepingComputer

このスクリプトは、別の PowerShell スクリプトを生成/起動し、侵害済みサイトのリストから Emotet マルウェアをダウンロードし、%Temp% フォルダに保存する。そして、ダウンロードした DLL を、regsvr32.exe コマンドを用いて実行する。この PowerShell スクリプトの実行は、Regsvr32.exe コマンドライン・ユーティリティを用いて行われ、Emotet マルウェアのダウンロードと起動で終了する。セキュリティ研究者の Max Malyutin は、この実行フローについて、LNK ファイルでの PowerShell の使用と同様に、Emotet マルウェア展開における、新しいものであると述べている。

増加する新手法

Emotet の活動を注意深く監視している Cryptolaemus 研究者グループは、この新しい手法は、防御と自動検出を回避するための、脅威者の試みであると指摘している。サイバーセキュリティ企業である ESET のセキュリティ研究者たちも、過去24時間の間に Emotet の新手法の使用が増加していることに注目している。

Emotet PowerShell use in LNK files metrics
source: ESET

ESET のテレメトリ・データによると、新技法による Emotet の影響を最も受けた国は、メキシコ/イタリア/日本/トルコ/カナダであることが判明している。2021年11月から活動を安定したレベルで再開してから、Emotet ボットネットの運営者は、.LNK ファイルの PowerShell への切り替え以外にも、64 Bit モジュールへの移行などの、いくつかの変更を行っている。このマルウェアは、Conti のようなランサムウェアのための、脅威のゲートウェイとして使用される。

Emotet に関しては、4月25日の「Emotet の新たな戦略:Microsoft による VBA マクロ制限への対抗策を試している?」で、その新しい動きを紹介しましたが、それ以外にも、いろいろと試行錯誤を繰り返しているようです。よろしければ、3月8日の「Emotet の追跡調査:2021年11月より着実に勢力を回復し 13万台に感染」や、2021年12月10日の「Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している」なども、ご参照ください。

%d bloggers like this: