Emotet の検出量が最多になった:HP Wolf Security 調査 2022 Q1

Emotet is the most common malware

2022/05/17 HelpNetSecurity — HP の Wolf Security 脅威リサーチ・チームが、Emotet が再登場した 2021年 Q4 と 2022年 Q1 を比較し、Emotet 悪質スパム・キャンペーンによる検出数が 28倍に増加していることを確認し発表している。現実のサイバー・セキュリティ攻撃の分析を提供する、最新の HP Wolf Security Threat Insights Report Q1-2022 によると、Emotet は 36 ランク・アップして、2022年 Q1 で最も多く検出されたマルウェア・ファミリーとなった (捕捉した全マルウェアの 9%)。

その内訳として、日本の組織をターゲットにしたメール・スレッドのハイジャックにより、受信者を騙して PC を感染させるキャンペーンで用いられる、XLSM (Microsoft Excel) マルウェアの検体が、前四半期と比較して大きく増加したことが要因となっている。

Emotet detections Q1 2022

HP Wolf Securityは、検知ツールを回避してユーザーのエンドポイントに到達した脅威を分離することで、サイバー犯罪者が使用している最新の手法に対する、具体的な知見を得ている。注目すべき例として、以下が挙げられる。

  • マクロの無効化伴い、悪意の Microsoft Office 文書に代わる、ステルス型文書の人気が高まっている。前四半期と比較して、悪意のある Java Archive ファイル (476%増) や JavaScript ファイル (42%増) など、Office ベースとは異なる形式の増加が、HP により確認されている。これらのファイル形式は検出率が低く、感染の可能性が高いため、企業にとって防御が困難な攻撃となる。
  • HTML スマグリングが増加している兆候がみられる。これは、サイバー犯罪者が HTML ファイルに直接にマルウェアを埋め込み、メール・ゲートウェイによる検出を回避し、その後にアクセスして重要な財務情報を盗み出すという手法である。最近では、中南米やアフリカの銀行を標的としたキャンペーンが確認されている。
  • マルウェア [Two for One] キャンペーンにより、複数の RAT に感染している。Visual Basic スクリプトを用いた攻撃により、キルチェーンが開始され、同じデバイスに複数の感染が発生し、攻撃者は VW0rm/NjRAT/AsyncRAT を介して、被害者のシステムに持続的にアクセスすることが確認されている。

HP Wolf Security の Senior Malware Analyst である Alex Holland は、「Emotet の運営者が再編成を行い、力を取り戻し、ボットネットの拡大に投資していることを示す明確なシグナルである。以前の CISA の分析によると、Emotet は最も破壊的であり、修復にコストの掛かるマルウェアの1つである。また、その運営者は頻繁にランサムウェア・グループと連携しており、このパターンは今後も続くと予想される。Emotet の再登場は、企業や公共部門にとって悪い知らせだ。Emotet は継続して、マクロを用いた攻撃を好んでいる。おそらく、Microsoft がマクロを無効化する、4月の期限前に攻撃を行おうとしているのだろう。また、人々がまだマクロを有効にしており、間違ったものをクリックさせようと仕向けられるのだろう。」と述べている。

この調査結果は、HP Wolf Security を実行している数百万台のエンドポイントから、得られたデータに基づいている。HP Wolf Security は、分離されたマイクロ仮想マシンで、リスクの高いタスクを開くことでマルウェアを補足する。それにより、ユーザーを保護するとともに、試行された感染チェーンの完全な把握/追跡を行い、他のセキュリティツールをすり抜ける脅威を軽減する。現在までに、HP の顧客は 180億以上の電子メールの添付ファイル/Web ページ/ダウンロードをクリックしたが、違反は報告されていない。このデータから、脅威アクターが野放しのマルウェアを、どのように使用するかについて、独自の洞察を得ることができる。

その他の主な調査結果

  • 脅威の 9% は、分離された時点では未確認である。電子メール・マルウェアの 14%は 、少なくとも1つの電子メール・ゲートウェイ・スキャナをバイパスしていた。
  • 他のセキュリティ・ツールが、ハッシュにより認識するまでには、に知られるまでに、平均3日以上 (79時間) が掛かっている。
  • HP Wolf Security により隔離されたマルウェアの 45% は、Officeファイル形式だった。
  • 脅威アクターたちは、組織への感染を試みる際に 545 種類のマルウェア・ファミリーを使用しており、Top-3 は Emotet/AgentTesla/Nemucod により占められる。
  • Microsoft Equation Editor の脆弱性 (CVE-2017-11882) の悪用は、捕捉された全悪意のサンプルの 18% を占めている。
  • 検出されたマルウェアの 69% は電子メール経由で配信され、Web ダウンロードは 18% に過ぎない。マルウェアの配信に最も使用された添付ファイルは、スプレッドシート (33%)/実行ファイルとスクリプト (29%)/アーカイブ (22%)/ドキュメント (11%) だった。
  • フィッシングの誘い文句は、注文/支払い/購入/依頼/請求などの、ビジネス・トランザクションが最も一般的だった。

HP の Global Head of Security for Personal Systems である Dr. Ian Pratt は、「今HP Wolf Security が捕捉した脅威の量が、2022年 Q1 は 27% という大幅な増加を記録した。サイバー犯罪者たちが、IT 環境の変化に応じてアプローチを変えるにつれ、攻撃の量と種類は増え続け、従来のツールでは攻撃を検知することが難しくなっている。検知を回避するための手法が広がっているため、企業はエンドポイント・セキュリティにおいて、重層的なアプローチを取る必要がある。最小特権の原則を適用し、電子メール/ブラウザ/ダウンロードなどの、最も一般的な脅威ベクター分離することで、これらの経路を介して配信されるマルウェアを無害化できる。これにより、サイバー脅威に対する組織のリスクを劇的に減少させることが可能になる」と述べている。

Emotet についてですが、2021年 Q4 と 2022年 Q1 を比較したところ、悪質スパム・キャンペーンによる検出数が 28倍に増加しているようです。それと、この記事の冒頭にあるチャートですが、記されている脆弱性 CVE-2017-11882/CVE-2017-0199/CVE-2018-0802 は、いずれも Microsoft Office におけるものでした。その中でも突出しているのが CVE-2017-11882 であり、2017年11月16日の Patch Tuesday でパッチが適用されています。対象は Microsoft Office 2016/2010/2007 となっており、最新の Office では問題がないのかもしれません。この記事の元データとなっている、HP Wolf Security Threat Insights Report Q1 2022 は Web でも PDF でも提供されているので、ぜひ、ご参照ください。

%d bloggers like this: