Emotet malware now distributed in Microsoft OneNote files to evade defenses
2023/03/18 BleepingComputer — 現時点において Emotet マルウェアは、Microsoft のセキュリティ制限を回避して、より多くのターゲットに感染させるために、OneNote ファイルを添付したEメールで配布されている。Emotet は、歴史的に悪名高いマルウェア・ボットネットであり、悪意のマクロを仕込んだ Word や Excel の添付ファイルを通じて配布されていた。これらの添付ファイルを、ユーザーが開いてマクロを有効にすると、DLL がダウンロード/実行され、Emotet マルウェアがデバイスにインストールされる。このマルウェアがロードされると、Eメールの連絡先やメールの内容が盗まれ、今後のマルウェア・キャンペーンで悪用されるようになる。また、企業ネットワークへのイニシャル・アクセスを提供する、他のペイロードもダウンロードされる。
このアクセスから生じるのは、ランサムウェア攻撃/データ窃盗/サイバー・スパイ/恐喝などの、企業に対するサイバー攻撃である。
Emotet は、過去に最も配布されたマルウェアの1つだが、この1年間においては、一時的な休止/開始を繰り返し、2022年末には活動を停止していた。しかし、その3ヶ月後に、Emotet ボットネットは突然に活動を再開し、今月の初めには、世界中に悪意のEメールをまき散らし始めた。
しかし、Emotet のイニシャル・キャンペーンには、マクロを使用した Word や Excel のドキュメントを使い続けているという欠陥がある。現在の Microsoft は、Eメールに添付されたものを含め、ダウンロードした Word や Excel のドキュメントに含まれるマクロを、自動的にブロックしている。そのため、このキャンペーンは、わずか数人のユーザーにしか影響しないだろうと思われた。
Source: BleepingComputer
そのため、Microsoft がマクロのブロックを開始した後に、Emotet はマルウェアの配布方法として一般的になっている、OneNote ファイルに切り替えるだろうと、BleepingComputer は予測していた。
OneNote に乗り換えた Emotet
セキュリティ研究者の abel が最初に発見した Emotet スパム・キャンペーンにおいて、予測どおり脅威アクターたちは、Emotet マルウェアの配布手段として、悪意の OneNote 添付ファイルを使用するようになった。これらの添付ファイルは、ガイド/ハウツー/請求書/仕事の紹介などを装った、返信用のチェーン・メールで配布されている。
Source: BleepingComputer
Eメールに添付された OneNote のドキュメントには、ドキュメントが保護されている旨のメッセージが表示される。そして、ドキュメントを正しく表示するために、表示ボタンをダブルクリックするよう促してくる。
Source: BleepingComputer
Microsoft OneNote では、埋め込みドキュメントにデザイン要素を重ねることができる。そして、重ねられたデザイン要素をダブルクリックすると、この重ね合わせを悪用して、その下の埋め込まれたファイルが起動するような仕掛けができる。
今回の Emotet マルウェア・キャンペーンで、脅威アクターたちは、以下のように表示ボタンの下に、click.wsf という悪質な VBScript ファイルを隠している。
Source: BleepingComputer
この VBScript には、遠隔地にある危険な Web サイトから DLL をダウンロード/実行する、難読化されたスクリプトが含まれている。
Source: BleepingComputer
Microsoft のセキュリティ保護により、OneNote に埋め込まれたファイルをユーザーが起動しようとすると、警告を表示される。しかし、これまでの経緯から、多くのユーザーが OK ボタンをクリックして警告を消していることが分かっている。
Source: BleepingComputer
ユーザーが OK ボタンをクリックすると、埋め込まれた click.wsf VBScript ファイルは、OneNote の Temp フォルダから WScript.exe を使って実行される (ユーザーによって異なる可能性がある) 。
"%Temp%\OneNote\16.0\Exported\{E2124F1B-FFEA-4F6E-AD1C-F70780DF3667}\NT\0\click.wsf"
次にこのスクリプトは、Emotet マルウェアを DLL [VirusTotal] としてダウンロードし、同じ Temp フォルダに保存する。そして、regsvr32.exe を使用して、ランダムな名前の DLL を起動する。Emotet は、デバイス上で密かに動作し、Eメールや連絡先を盗み、C2 サーバからのさらなるコマンドを待つ。
このキャンペーンが最終的にどのようなペイロードをドロップするかは不明だが、一般的に Cobalt Strike などのマルウェアがインストールされる。これらのペイロードにより、Emotet と連携する脅威アクターはデバイスにアクセスし、それを足がかりにネットワーク内でさらに拡散する。
悪意の OneNote ドキュメントをブロックする
Microsoft OneNote の添付ファイルを悪用したマルウェア・キャンペーンが複数展開されており、深刻なマルウェア配布の問題となっている。
そのため Microsoft は、フィッシング・ドキュメントに対する改善された保護機能を、OneNote に追加する予定だが、いつから利用可能になるのか、具体的なスケジュールは決まっていない。
しかし Windows の管理者は、グループ・ポリシーを設定することで、悪意の Microsoft OneNote ファイルから保護することができる。
これらのグループ・ポリシーを使用すると、Microsoft OneNote の埋め込みファイルの完全なブロックが可能であり、また、実行をブロックすべき特定のファイル拡張子を指定ができる。
Source: BleepingComputer
利用可能なグループ・ポリシーについては、BleepingComputer が今月の初めに書いた記事に詳述されている。
Microsoft が OneNote に、さらなる保護機能を追加するまで、これらのオプションのいずれかを利用することが、Windows 管理者に対して強く推奨される。
ついに、Emotet が本気モードのキャンペーンを開始したようです。そして、狙いは OneNote ファイルとなりますが、 以下のリストを見れば、ここに落ち着く理由が、なんとなく見えてきます。
2023/03/07:Emotet 活動再開:トリックは大容量ファイル?
2023/03/05:OneNote マルウェア:防止のための手順を詳述
2023/01/30:Emotet/REvil を配信する TrickGate
2023/02/07:OneNote ファイル経由で QBot をプッシュ
2023/01/24:Emotet が新たなバイパス手法で再登場
2023/01/21:OneNote:新たなマルウェア配布が始まっている
IoT OT Security News 
You must be logged in to post a comment.