Emotet Botnet Started Distributing Quantum and BlackCat Ransomware
2022/09/19 TheHackerNews — 2022年の Conti 撤退後の Emotet マルウェアだが、Quantum/BlackCat などのRansomware-as-a-Service (RaaS) グループにより活用され始めていることが判明した。このマルウェア Emotet は、2014年にバンキング型トロイの木馬として始まった。その後の、度重なるアップデートにより、被害者のマシンに他のペイロードをダウンロードする機能を実装し、攻撃者による遠隔操作に対応するなど、きわめて強力な脅威へと変化している。
この侵入型マルウェア・ローダーのインフラは、2021年1月に執行された、法務機関の活動の一環として停止された。しかし、2021年末の Conti ランサムウェア・カルテルが、その復活に重要な役割を果たしたとも言われている。
AdvIntel は、先週に公開したアドバイザリで、「2021年11月から、Conti が解散した2022年6月までの間、Emotet は Conti 専用のランサムウェア・ツールだった。しかし、現在の Emotet の感染チェーンは、Quantum/BlackCat に起因している」と述べている。
典型的な攻撃手順としては、Emotet (別名 SpmTools) をイニシャル・アクセス手段として使用している。そして、Cobalt Strike をドロップした後に、ランサムウェア操作のためのポストエクスプロイト・ツールとして使用するというものがある。
ランサムウェア集団 Conti は解散したが、そのメンバーの一部は、BlackCat/Hive などの、他のランサムウェア集団の一員として、あるいはデータ強奪やその他の犯罪行為に焦点を当てた独立グループとして、これまでと同様に活発に活動している。
また Quantum は、Conti のスピンオフ・グループであり、この数ヶ月の間に、標的のネットワークに侵入する手段として、コールバック・フィッシング (BazaCall/BazarCall と呼ばれる) の手法を用いている。
Recorded Future は先月のレポートで、「Conti のアフィリエイトは、フィッシング/認証情報の漏洩/マルウェアの配布/脆弱性の悪用などの、さまざまなイニシャル・アクセス手段を使用している」と指摘している。
AdvIntel によると、2022年に入ってから世界中で 1,267,000 件以上の Emotet の感染を観測しており、ロシアのウクライナ侵攻と重なる2月と3月に活動のピークが記録されたという。
また、6月から7月にかけては、Quantum/BlackCat などのランサムウェア・グループが Emotet を使用したことで、2回目の感染急増が発生している。AdvIntel が収集したデータによると、最も多く Emotet の標的とされたのは米国であり、フィンランド/ブラジル/オランダ/フランスなどが、それに続いているようだ。
以前に ESET は、2021年9月〜12月の4カ月間と比較して、2022年の最初の4カ月間には Emotet の検出数が100倍に跳ね上がったと報告している。その一方で、イスラエルのサイバーセキュリティ企業である Check Point は、2022年8月に最も流行したマルウェア・リストで Emotet は 1位から5位に転落し、FormBook/Agent Tesla/XMRig/GuLoader に続く存在だと述べている。
最近のマルウェアは、まるで季節性のウィルスのように、その時時で感染力が上下しているような感じです。文中では、2月〜3月に急上昇した Emotet ですが、その後に勢いを落としていると書かれていますが、Microsoft の対策に応じて、感染経路を VBA から PowerShell に切り替えたことも、影響しているのかもしれません。 1位から5位に転落と、時期的にも重なるように思えます。なお、AdvIntel の State of Emotet も、なかなかおもしろいので、おすすめです。
IoT OT Security News 
You must be logged in to post a comment.