Emotet Malware Makes a Comeback with New Evasion Techniques
2023/01/24 TheHackerNews — マルウェア Emotet は、Bumblebee/IcedID などの危険なマルウェアの感染経路となる一方で、その手口を改良し、レーダーを回避し続けている。2021年初頭に、捜査当局が Emotet のインフラを排除したが、同年末には活動を再開しており、フィッシング・メールを介して配布される、持続的な脅威として存在し続けている。このウイルスは、サイバー犯罪グループ TA542 (別名 Gold Crestwood/Mummy Spider) に帰属するものであり、バンキング型トロイの木馬として 2014年に登場した後に、マルウェア配布者へと進化してきた。
そして、MaaS (Malware-as-a-Service) へと成長した Emotet はモジュール化され、感染させたマシンからの機密情報の窃取や、侵入後の活動を支援するための、独自のコンポーネント/フリーウェア群を展開する仕組みを持つにいたっている。
Emotet に新たに追加されたものとしては、ハードコードされたユーザー名/パスワードのリストを使用して、横方向の移動を促進するように設計された SMB Spreader と、Chrome Web ブラウザを標的としたクレジットカード・スティーラーの、2つモジュールが挙げられる。
最近のボットネットが関与するキャンペーンでは、武器化された添付ファイルを用いた一般的なルアーにより、攻撃チェーンが開始される。
しかし、ペイロードの配布/初期感染の方法として、マクロが時代遅れになってきたことことから、別の方式へと攻撃の方法は遷移し、マルウェア検出ツールから Emotet を回避させている。
先週のレポートで BlackBerry は、「最新の Emotet スパムメールでは、添付された .XLS ファイルでユーザーを騙し、ドロッパーをダウンロードさせるためにマクロを悪用するという、新しい手口が用いられている。それに加えて、新しい Emotet の亜種は、検出を回避する別の方法として、32 Bit から 64 Bit へ移行している」と説明している。
その手口とは、OS が信頼する Windows デフォルトの Office Templates フォルダへと、おとりである Microsoft Excel ファイルを移動するよう被害者に促し、文書内に埋め込まれた悪意のマクロを実行して Emotet を配信するというものだ。
この変化は、Bumblebee/IcedID などのマルウェアを改変して、Emotet が感染を試みていることを示唆している。
カナダのサイバーセキュリティ企業である BlackBerry は、「この8年余りの間に着実に進化を遂げた Emotet は、回避戦術の面で洗練され続け、さらに自己増殖するためのモジュールを追加し、現在のフィッシング・キャンペーンを通じて、マルウェアを拡散し続けている」と述べている。
Check Point のマルウェア調査では、2022年11月の Emotet は 4% で2位、12月も 4% で2位でしたが、その後に、この BlackBerry のレポートが発表されています。文中にも在るように、Emotet は回避戦術を洗練し続け、さらに自己増殖するためのモジュールを追加しているようなので、油断できませんね。よろしければ、2022/11/26 の「Emotet 2022 を予測する:このマルウェアの歴史から何が見えてくるのか?」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.