Emotet復活 プルーフポイント分析、新たにギリシャが標的に | ScanNetSecurity
2024.07.24(水)

Emotet復活 プルーフポイント分析、新たにギリシャが標的に

 日本プルーフポイント株式会社は11月16日、2022年秋のEmotet復活についての解説記事をブログで発表した。

調査・レポート・白書・ガイドライン

 日本プルーフポイント株式会社は11月16日、2022年秋のEmotet復活についての解説記事をブログで発表した。

 Emotetマルウェアを配布する攻撃グループ「TA542」は、Proofpointが観測している中で最も配信する攻撃メールの量が多い攻撃グループの1つで、1日あたり数十万通のメールを配信していることを再び確認している。プルーフポイントでは、Emotetの配信方法、地域別の標的を追跡し、EmotetマルウェアおよびIcedIDローダーペイロードの分析を同記事で行っている。

 プルーフポイントによると、Emotet送信ボットが毎日配信するメールは約十万通以上と過去の平均値と同等で、Emotet ボットネットが稼働停止の期間中にスパム送信能力を失っていないと推測している。

 攻撃グループは活動停止前と同様の国々を引き続き標的にしており、プルーフポイントでは米国、英国、日本、ドイツ、イタリア、フランス、スペイン、メキシコ、ブラジルを標的とした大量の電子メールの送信を一貫して確認しており、受信者の所在地だけでなく、メール本文、件名、ファイル名で現地の言語が適切に使用されていることも確認している。さらにプルーフポイントでは、添付ファイル名からこれまでTA542の一般的な攻撃対象ではなかったギリシャを標的にしていることを確認している。

 11月2日のEmotet復帰以降に、TA542が送信したメールに含まれる悪質なコンテンツは、2022年7月の活動停止期間前と同じくExcelの添付ファイル、またはExcelファイルを内部に含むパスワードで保護されたZIPの添付ファイルで、ExcelファイルにはXL4マクロが含まれ、複数の(通常は4つの)組み込みURLからEmotetペイロードをダウンロードする。

 新しい点としては、ターゲットにされた標的が、ファイルをOSにとって信頼できる場所として定義されている Microsoft Office Templateの場所にコピーし、代わりにそこから実行するようにとの指示が、Excelファイルに含まれるようになったことを挙げている。

 その他、プルーフポイントではEmotet復活のポイントとして下記を挙げている。

・使用されるルアー(おとりテーマ)、Emotetモジュール、ローダー、パッカーへの変更など、Emotetおよびそのペイロードへの複数の変更を観測
・Emotetは感染後に別のマルウェアであるIcedIDをダウンロードすることを確認
・Emotetが主要なマルウェア・ファミリーの配信ネットワークとして機能するよう、完全な機能を取り戻しつつある
・新しいオペレーターや管理者が関与している可能性

《ScanNetSecurity》

編集部おすすめの記事

特集

調査・レポート・白書・ガイドライン アクセスランキング

  1. ランサムウェアの種別特定やセカンドオピニオンも ~ セキュリティ企業も頼りにできる JPCERT/CC

    ランサムウェアの種別特定やセカンドオピニオンも ~ セキュリティ企業も頼りにできる JPCERT/CC

  2. 1,952 社から 9,208 件の報告 ~ 2023年度 Pマーク付与事業者の個人情報取扱いにおける事故

    1,952 社から 9,208 件の報告 ~ 2023年度 Pマーク付与事業者の個人情報取扱いにおける事故

  3. 迷惑メール対策推進協議会「送信ドメイン認証技術 DMARC導入ガイドライン」公表

    迷惑メール対策推進協議会「送信ドメイン認証技術 DMARC導入ガイドライン」公表

  4. わずか 22.9 % ~ ランサムウェア身代金「支払いは行わない」方針でルール化

  5. IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査

  6. フィッシングサイトのドメイン「workers.dev 」急増、デジタルアーツ調査

  7. 7月のフィッシング報告状況、「.cn ドメイン」のフィッシングメールを多く確認

  8. 「規定変更」「研修通知」人事からのメールはフィッシング要注意

  9. 金融機関は p=reject 設定が多い ~ TwoFive「国内DMARC統計とその傾向 2024年7月版」

  10. TwoFive が 2024年上半期「フィッシングトレンド」公開 ~「くらし TEPCO」 装い 未払い電気料金の支払い促すフィッシングサイト増加

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×