Emotet が 11月2日に活動を再開：Microsoft の Protected View を回避する戦術とは？

Emotet botnet starts blasting malware again after 5 month break

2022/11/02 BleepingComputer — マルウェア Emotet のオペレーションだが、サイバー犯罪作戦の活動がほとんど見られなかった約５ヶ月間の休暇を経て、再び悪質な電子メールを送信し始めている。Emotet のフィッシング・キャンペーンは、悪意の Excel／Word 文書を介して、マルウェアを配布し感染させるものだ。それらの文書を開いたユーザーが、マクロを有効にしていると、Emotet DLL がダウンロードされ、メモリに読み込まれる。

それらのマルウェアが一度ロードされると、後続のスパム・キャンペーンで使用するメールの検索と窃取が行われ、さらには、Cobalt Strike マルウェアなどの追加ペイロードがドロップされ、ランサムウェア攻撃などにつながる可能性が生じる。

Emotet は、これまでにおいて、最も大量に配布されたマルウェアとされているが、2022年6月13日に突如としてスパム・メール配信を停止した。 

Emotet の復活

Emotet を研究する Cryptolaemus の研究者たちは、11月2日の午前4時頃 (ET) に、Emotet の活動が突然復活し、世界中の電子メール・アドレスにスパム・メールが送信され始めたと報告している。

Proofpoint の脅威研究者であり、Cryptolaemus のメンバーでもある Tommy Madjar は、BleepingComputer に対して、今日の Emotet のメール・キャンペーンは、盗み出したメールの返信チェーンを使用して、悪質な Excel 添付ファイルを配布していると述べている。

VirusTotal にアップロードされたサンプルから、さまざまな言語とファイル名で、世界中のユーザーをターゲットにした、請求書／スキャン／電子フォームなどを装う添付ファイルが配布されていることを、BleepingComputer は確認している。

ファイル名の一例を以下に示す。

Scan_20220211_77219.xls
fattura novembre 2022.xls
BFE-011122 XNIZ-021122.xls
FH-1612 report.xls
2022-11-02_1739.xls
Fattura 2022 - IT 00225.xls
RHU-011122 OOON-021122.xls
Electronic form.xls
Rechnungs-Details.xls
Gmail_2022-02-11_1621.xls
gescanntes-Dokument 2022.02.11_1028.xls
Rechnungs-Details.xls
DETALLES-0211.xls
Dokumente-vom-Notar 02.11.2022.xls
INVOICE0000004678.xls
SCAN594_00088.xls
Copia Fattura.xls
Form.xls
Form - 02 Nov, 2022.xls
Nuovo documento 2022.11.02.xls
Invoice Copies 2022-11-02_1008, USA.xls
payments 2022-11-02_1011, USA.xls

今日の Emotet キャンペーンでは、Microsoft の Protected View を回避する手順を含む、新しい Excel 添付テンプレートも導入されている。

電子メールの添付ファイルなども含めて、インターネットからファイルがダウンロードされると、Microsoft は対象ファイルに対して Mark-of-Web (MoTW) フラグを追加する。

そして、ユーザーが MoTWフ ラグを含む Microsoft Office 文書を開くと、Microsoft Office は Protected View で開かれ、マクロ実行によるマルウェアのインストールを阻止する仕組みになっている。

しかし、新しい Emotet Excel の添付ファイルでは、信頼できる Templates フォルダにファイルをコピーするように、脅威アクターからユーザーへの指示があることが判明している。そうすることで、MoTW フラグを含むファイルであっても、Microsoft Office の Protected View は回避されてしまう。

RELAUNCH REQUIRED セキュリティ・ポリシーの要件に従い、ドキュメントのコンテンツを表示するには、以下のフォルダにファイルをコピーして、再度実行する必要がある。

"RELAUNCH REQUIRED In accordance with the requirements of your security policy, to display the contents of the document, you need to copy the file to the following folder and run it again:

for Microsoft Office 2013 x32 and earlier - C:\Program Files\Microsoft Office (x86)\Templates 
for Microsoft Office 2013 x64 and earlier - C:\Program Files\Microsoft Office\Templates
for Microsoft Office 2016 x32 and later - C:\Program Files (x86)\Microsoft Office\root\Templates 
for Microsoft Office 2016 x64 and later - C:\Program Files\Microsoft Office\root\Templates"

Templates フォルダーにファイルをコピーするには、管理者権限が必要だとを Windows は警告するが、ユーザーはファイルをコピーしようとしているため、Continue ボタンが押される可能性も十分にある。

Templates フォルダから、それらの添付ファイルを起動されると、すぐにマクロが実行され、Emotet マルウェアがダウンロードされる。

以下に示すように、Emotet マルウェアは、%UserProfile%AppData㎤Local 下の、複数のランダムな名前のフォルダに DLL としてダウンロードされる。

そして、このマクロは、正規の regsvr32.exe コマンドを使用して DLL を起動する。

ダウンロードされマルウェアは、バックグラウンドで静かに実行され、さらなる指示や追加のペイロードをインストールするために、Command and Control サーバに接続する。

Tommy Madjar は BleepingComputer に対して、今日の Emotet 配布においては、感染させたデバイス上への追加マルウェア・ペイロードのドロップは開始されていない、と述べている。

しかし、過去において Emotet は、TrickBot マルウェアや Cobalt Strike ビーコンをインストールしてきた。たとえば、それらの Cobalt Strike ビーコンは、ネットワーク上で横展開し、データを盗み出し、デバイスを暗号化するランサムウェアのイニシャル・アクセスとして使用されてきた。

過去に Ryuk や Conti といったランサムウェア・ギャングが、企業ネットワークでイニシャル・アクセスを得るために、Emotet による感染が使用されていた。そして、6月に Conti が停止して以来、Emotet は BlackCat および Quantum ランサムウェアのオペレーションと連携し、すでに感染させたデバイスへの、イニシャル・アクセスで使用されていることが確認されている。

最近の Emotet ですが、9月19日の「Emotet 最新情報：RaaS グループ Quantum／BlackCat などが活用し始めている」や、10月11日の「Emotet の最新分析：進化するモジュールとインフラを VMware が徹底追跡」、10月21日の「Emotet の新たなマルスパム・キャンペーン：CoinMiner と Quasar RAT のドロップが始まった」といった具合に、徐々に情報が増えてきたところでした。そして、11月2日の午前4時頃 (ET) に、今回のアクティビティが始まったようですが、試験的なものなのか、本格的なものなのかは、まだ分からないという状況です。