Emotet の最新分析：進化するモジュールとインフラを VMware が徹底追跡

Experts analyzed the evolution of the Emotet supply chain

2022/10/11 SecurityAffairs — VMware の研究者たちは、Emotet マルウェアの背後に存在するサプライチェーンを分析し、そのオペレータが検出を回避するために取っている TTP が継続的に変更されていることを報告した。Emotet バンキング・トロイの木馬は、2014年ころから活動しており、このボットネットは TA542. として追跡されている脅威アクターにより運営されている。Emotet が利用されるケースは、Trickbot／QBot などのトロイの木馬の配信および Conti／ProLock／Ryuk／Egregor などのランサムウェアなど配信である。

2022年4月に、Emotet ボットネットのオペレータは、Visual Basic for Applications (VBA) マクロをデフォルトで無効にするという、Microsoft の動きに対応して新たな攻撃手法をテストし始めた。6月には、Proofpoint の専門家たちが、Chrome Web ブラウザからクレジットカード情報を盗むための、新たなモジュールを使用する Emotet ボットの亜種を発見した。

Emotet のオペレータは時間をかけて、複数の攻撃ベクトルを採用することで攻撃チェーンを強化し、レーダーをかい潜るようになっている。

VMware の Threat Analysis Unit (TAU) が発表したレポートには、「新しい類似性メトリックに基づく、VMware TAU のクラスタリング分析により、Emotet 攻撃の各段階を特定された。そこでは、初期感染の形態を変化させるために、マルウェアの配信方法が変更されていた。Emotet が、これほど長期に渡り成功している理由の１つは、適応性を得るための実行チェーンの継続的な変更である」と記されている。

最近の Emotet キャンペーンで使用されている攻撃チェーンは、兵器化された Microsoft ドキュメントを、スパムメールで配信するものだ。一連のメッセージは、ユーザーを騙して悪意のマクロを有効にするよう細工されており、その結果として PowerShell コマンドが実行され、Emotet のペイロードがダウンロードされることになる。脅威アクターは Emotet を用いて、TrickBot や QakBot などの追加モジュールを配信する。

2022日1月に、VMware Threat Analysis の研究者たちは、武器化された Excel 添付ファイルを用いる、新たな Emotet 攻撃を観測した。専門家たちは、この攻撃を３つの波に分類した。

• A – Emotet ペイロードを XL4 マクロにダイレクトに取り込む
• B – Emotet ペイロード を PowerShell と XL4 マクロを組み合わせて取り込む
• C – Emotet ペイロード を PowerShell と VBAを組み合わせて取り込む

2022年1月下旬には、HTML Application (HTA) ファイルの実行に使用される、Windows ネイティブのユーティリティ mshta.exe を悪用する攻撃が相次いで紹介された。

専門家たちは、mshta ツールも LOLBIN (living-off-the-land binaries) であり、PowerShell のように悪用される指摘している。LOLBIN とは、Microsoft により署名され、Windows により信頼されているため、脅威アクターが悪用しやすいものとなっている。

Emotet では、モジュール構造が用いられ、いくつかのコア・モジュールに依存している。コア・モジュール (Emotet ペイロード) は、C2 サーバから追加のペイロードをダウンロードするものだ。

• Web ブラウザやメール・クライアントから認証情報を取得するための、認証情報窃盗モジュール。具体的には MailPassView と WebBrowserPassView。
• スパム・モジュール。
• 電子メール・ハーベスティング・モジュールは、感染させた PC から電子メール認証情報／連絡先リスト／電子メール・コンテンツを窃取し、C2 サーバに流出させる。
• Emotet の初期バージョンには、分散型サービス拒否 (DDoS) モジュールとバンキング・モジュールが含まれていた。

WMware が分析した攻撃では、以下の８種類のモジュールが観測されている。

• コア・モジュール (Emotet ペイロード)
• スパム・モジュール
• Thunderbird 電子メール・クライアント・アカウント・スティーラー
• Outlook 電子メール・クライアント・アカウント・スティーラー
• クレジットカード情報スティーラー
• SMB Protocol 32 を悪用するしたスプレッダー
• MailPassView アプリケーションを組み込んだモジュール
• WebBrowserPassView アプリケーションを組み込んだモジュール

VMware のレポートでは、「このリストでは、過去に確認された既知のモジュールと機能に加えて、私たちが傍受した２つの最新モジュールが強調したい。それらは、Google Chrome ブラウザを主標的としたクレジットカード情報スティーラーと、SMB プロトコルを悪用する拡散スプレッダーである」と指摘している。

さらに研究者たちは、カスタムなテクノロジーとツールを使用して、Emotet の C2 インフラの進化を追跡している。この追跡は、サンプルで使用されているコンフィグレーション・ファイルの抽出から始まっている。専門家が用いたデータセットには、24,276個の Emotet DLL ペイロードが含まれており、そのうち 26.7% は Excelドキュメントによりドロップされたものだという。

VMware の専門家たちは、複数のクラスタに関連する C2 インフラを、長期にわたって追跡してきた。最近になって、Epochs 4／5 として追跡してきた、２つの新しいボットネット・クラスターを操作しているオペレータを発見したという。

最大のボットネット・クラスター (cluster 0) には、データセット全体の 40%以上に相当する 10,235種類のサンプルが含まれ、ほぼ３カ月間 (2022年3月15日〜2022年6月18日) にわたって、Epoch 5 に属する C2 サーバを再利用していた。

研究者たちは、Emotet モジュールのホストに使用されたサーバの、IP アドレスに関連する地理的な分布も分析した。それらのモジュールの大半はインド (26&) でホストされており、その後に韓国／タイ／ガーナが続いている。

Emotet 攻撃から身を守るために推奨されるのは、意識向上とトレーニング・プログラムの推進／ネットワークの細分化の実施／ネットワーク検出・応答 (NDR) の採用／ゼロトラスト・モデルの実施／ネットワーク・アーティファクトのスキャン／堅牢なパスワードポリシーとベストプラクティスの実装などとなる。

Emotet のモジュール化が進んだことで、亜種が作りやすくなったと見るべきなのでしょうか。また、感染後のアクティビティについても、このモジュール化により、攻撃の形態が多様化しているようです。文中にある、Chrome ブラウザを主標的としたクレジットカード情報スティーラーに関しては、8月8日の「Emotet の最新情報：Google Chrome に保存されるクレジット・カード情報を盗もうとしている」という記事で、詳細が説明されています。よろしければ、Emotet で検索も、ご利用ください。