Emotetが戻ってきた - sugimuのブログ

どうも@sugimuです。

7/17、日本時間の深夜（だいたい23時頃）にEmotetが戻ってきたのでほぼ個人的な備忘録です。

EMOTET UPDATE | We are observing more activity coming from the #Emotet #Botnet today. We are seeing email traffic from this botnet again. Both URLs and Attachments are being utilized for distribution. #malspam #threatintel pic.twitter.com/9zrc9fWMlN
— Spamhaus (@spamhaus) 2020年7月17日

前回の拡散活動は2/6頃まで世界的に拡散活動が観測されていたので、約5か月ぶりの攻撃です。

Emotetとは
前回の攻撃の振り返り
再来した拡散活動の観測状況
Emotetまでの感染チェーン
現在の状況は
まとめ

Emotetとは

Emotetは感染端末からSMTP認証情報やメール件名、本文などを不正に収集し、悪用して拡散活動を行う凶悪なマルウェアです。
ダウンローダとしても機能するため、TrickBotをダウンロードして実行することを確認しています。
また、最終的にランサムウェアのRyukをダウンロードして実行される事例も報告されており、絶対に感染したくないマルウェアのひとつであると思います。

前回の攻撃の振り返り

前回、日本国内でEmotetの感染が確認され始めたのは2019/10頃からです。
不正に収集した実際のメール件名や本文を悪用されることから、メールを受信した人が疑いなく添付ファイルを開いてしまい、感染被害が爆発的に増えていったと考えられます。

2019/11/28には、記者会見で菅官房長官が注意喚起を行っており、危険性や感染被害の大きさが窺えます。
www.jiji.com

また、2020/1末には某保健所を騙ってコロナウイルス関連のメールを拡散しており、各メディア等が取り上げていたことも記憶にあります。

改めて分析しているのですが、これはEmotetの感染を目的にばらまかれたメールの本文です。(当時、さまざまなメディアが記事にしました)
実際、不正に収集されたメールの内容が悪用されていて、内容に違和感はありません。
今の日本でこれがばらまかれたと考えるとゾッとします。 pic.twitter.com/fmYY9ZQYEV
— sgm (@sugimu_sec) 2020年4月24日

これもEmotetによってメール本文を不正に収集され、拡散活動に悪用されたものと考えられます。

当時、JPCERT/CCも注意喚起を積極的に行っていて、2020/2/7時点で情報提供ベースでは延べ約3,200組織の感染を、内2020/1以降で約2,000組織の感染を確認したそうです。

僕の観測環境においても、Emotetに感染させる目的のメールを延べ15万通ほど観測しており、Emotetに感染していると思われる国内組織がメールアドレスベースで数百社ほど存在していたことを確認していました。

再来した拡散活動の観測状況

僕の環境では7/17 23:00頃から翌7/18 6:30頃までで702通観測し、添付ファイル型とリンク型の両方を確認しました。

観測したメールの内容としては、返信を装うもので実際のメールに返信する形で添付ファイルもしくはリンクが張り付けられたものです。

以下は、観測したメールの添付ファイル名をまとめたものです。

#Emotet 関連のMalSpamですが、観測した702通の添付ファイル名をユニーク取るとこんな感じでした。 pic.twitter.com/pH7BzMpnN1
— sgm (@sugimu_sec) 2020年7月18日

Emotetまでの感染チェーン

Emotetは主にMaldocを実行することによって感染します。

f:id:SugitaMuchi:20200720134433p:plain — Maldocのデコイ

これはあくまで一例ですが、Maldocのマクロを有効することによって、WMI経由でPowerShellが実行され外部からEmotetをダウンロードして実行します。

f:id:SugitaMuchi:20200720124543p:plain — Maldocを実行した際のAny.Runの画面

実行されるPowerShellをデコードすると通信先が確認できます。

f:id:SugitaMuchi:20200720124733p:plain — CyberChefの画面

ここで注意が必要ですが、PowerShellではなく高度に難読化されたJavaScript経由でEmotetをダウンロードするMaodocも過去に観測しています。

現在の状況は

既に、国内ではEmotet感染端末からメールの拡散活動が確認されていて、Twitter上で報告されています。

残念ながら、EmotetのE1-3全てでメール配信が確認されました。
既に日本の感染端末からもメール送信が始まっているようです。 https://t.co/QFu5PbjW91
— bom (@bomccss) 2020年7月17日

また、Emotetのメールが着弾したと思われる報告も確認しました。

エモいのきた。 #Emotet https://t.co/2ZXPGRGy6p
— _roku_ (@00001B1A) 2020年7月17日

つまり、前回の攻撃同様、日本国内でもEmotetに感染する危険性があるということです。

まとめ

Emotetは今後さらに感染活動が活発化していく可能性があります。
日本国内においても例外ではありません。
JPCERT/CC EyesのマルウエアEmotetへの対応FAQやIPA の「Emotet」と呼ばれるウイルスへの感染を狙うメールについてを改めて確認し、インシデントに備えておくべきであると考えます。