Emotetの活動が活発化

先日のブログでもご紹介しましたが、8月21日頃よりEmotetボットネット活動が再開されています。

micro-keyword.hatenablog.com

ブログでも紹介した通り、Emotetは他のマルウェアの配布に使われることもあり、結果として、感染機器および機器が接続されたネットワークにおいて大きな影響を与える可能性があります。

Emotetボットネットは、バンキングトロジャンであるTrickbotの配布やランサムウェアRyukの配布でも知られており、これらの検体が組織内で発見された場合、初期感染時にEmotetに感染している可能性があります。

それこそ、先日の記事でRyukの機能拡張を紹介したところですので、更なる攻撃の高度化に気をつけたいところです。

micro-keyword.hatenablog.com

その、Emotetボットネットを活用した具体的な攻撃の観測がされ始めました。

blog.malwarebytes.com

But this morning, the Trojan started pumping out spam, a clear indication it’s ready to jump back into action.

上記の通り、Malwarebytesが投稿した現地時間で2019年9月17日づけの記事では、16日の朝から、Emotetへの感染を狙うスパムメールが配布され始めたとのことです。

スパムは、ドイツ語、ポーランド語、イタリア語で記載されたものであり、今回の狙いは欧州であることが推測されます。

本件に関して、Bleeping Computerからも記事が発表されています。

www.bleepingcomputer.com

記事によると、Emotetの拡散のために複数のサイト改ざんが確認されているとのことです。

なお、Malwarebytesの運用するハニーポットでは以下のようなタイトルでスパムメール配布されているとのことです。

参考：Malwarebytes

フィッシングメールのサンプルは以下です。

メールに添付された、ファイルを開くと、マクロを有効化するよう促され、マクロを実行すると、Powershellが実行され、最終的にEmotetがダウンロードされます。

参考：Malwarebytes

Emotetは感染した機器にインストールされたアプリケーションからパスワードを窃取したり、Wannacryのように横展開したりすることができます。 単体でもそういった機能を提供できますが、多くの場合は、先述の通り、バンキングトロジャンやランサムウェアのダウンローダとして活用されます。

今回のスパムメールにおいても、Emotet感染ののち、Trickbotへの感染が確認されたとの報告が行われています。

2019-09-16 - I think most everyone knows that the #Emotet #malspam started up again today - Here's some infection traffic where #Trickbot (gtag: mor1) is the follow-up malware: https://t.co/6OUn1nHBv5 pic.twitter.com/Dfm7192S6d

— Brad (@malware_traffic) 2019年9月16日

本件に関しては、世界中のスパム関連活動を追跡する組織SpamHausによっても言及されており、本活動への注目度が伺えます。

Emotet is fully back in action and spamming. Within the past 15 minutes our researchers have observed activity. #botnet #emotet #ThreatIntel pic.twitter.com/jRTNqph6K0

— Spamhaus (@spamhaus) 2019年9月16日

いずれにしても、感染した段階から、被害を広げていくこと想定されるため、その矛先が日本に向くことも気にかけつつ、注視する必要があるように思います。