マルウェア
テイクダウンされた「EMOTET」が活動再開
1月末、過去最悪のマルウェアとも称されたEMOTETのテイクダウンをEUROPOLが報告しました。2021年11月15日以降、各地のリサーチャからEMOTETの活動再開の報告があがりはじめました。トレンドマイクロでも、EMOTETを拡散させるマルウェアスパム、新たなEMOTET本体とそのドロッパーの検体、および遠隔操作サーバなどの活動再開を確認しています。
今年1月末、過去最悪のマルウェアとも称されたEMOTETのテイクダウンをEUROPOLが報告しました。当ブログでも2月1日の記事でお伝えしておりましたが、それから10か月に満たない2021年11月15日以降、各地のリサーチャからEMOTETの活動再開の報告があがりはじめました。トレンドマイクロでも、EMOTETを拡散させるマルウェアスパム、新たなEMOTET本体とそのドロッパーの検体、および遠隔操作サーバ(C&Cサーバ)などの活動再開を確認しています。
図:「活動再開後」に確認したEMOTET本体をダウンロードする不正マクロを含んだWord文書ファイルの例
EMOTETは2017年から存在する、ボットに分類されるマルウェアです。外部のC&Cサーバからの命令を受け不正活動を行います。これまでのEMOTETでの具体的な被害としては、感染環境からの情報流出、マルウェアスパムの送信など更なる攻撃の踏み台にされる、ランサムウェアなど他のマルウェアに感染させられる、といったものが確認されてきました。
今回、EMOTETのボットネット再構築の初期段階では、別のボットであるTrickbotからのダウンロードが使用されました。Trickbotは以前、EMOTETからダウンロードされる別のマルウェアの1つとして知られていましたが、今回は逆パターンでEMOTETの活動再開を助けたことになります。
EMOTETの拡散経路としては自身のボットネットを利用したマルウェアスパムの送信が知られています。今回既にEMOTETのボットネットからのマルウェアスパム送信の再開も確認しています。再開後のマルウェアスパムによる拡散手法としては、テイクダウン前と同様に、不正マクロを含むWordもしくはExcel文書ファイルからEMOTET本体であるDLLファイルがダウンロードされ、実行される流れを確認しています。
図:「活動再開後」に確認したEMOTET本体をダウンロードする不正マクロを含んだExce文書ファイルの例
不正マクロを含む文書ファイルはメールに直接添付されるだけでなく、パスワード付き圧縮ファイルに含まれている場合も確認しています。また、本文内のURLからダウンロードするケースも報告されています。メールへの直接添付、パスワード付き圧縮ファイル、本文内URLからのダウンロードのいずれの方法も、テイクダウン前にも既に確認されている手法です。これらの不正文書ファイルを含むマルウェアスパムの内容には、これもテイクダウン前と同様、以前に送信したメールの返信形式のものも確認されています。現在のところ、英文のマルウェアスパムのみが確認されており、日本語のものは観測されていません。ただし、テイクダウン前は日本語マルウェアスパムからの感染事例も確認しており、今後の攻撃拡大が懸念されます。
このように表面上の活動はテイクダウン前とほとんど変わっていませんが、活動再開後に見られた変化として、C&C通信がHTTPからHTTPSになったことを確認しています。ネットワーク監視の観点からは、テイクダウン前とは異なるものになっていることに注意が必要です。
図:テイクダウン前(2021年1月)のEMOTET検体の通信例
図:活動再開後(2021年11月)のEMOTET検体の通信例
■被害に遭わないためには
テイクダウン前も活動再開後も、EMOTETの拡散方法は典型的なメール経由攻撃と言えます。何か特別な注意が必要となるわけではなく、これまで同様に侵入経路となるメールとその添付ファイルについて正当性を判断し、不審なものは開かないようにする心がけが必要です。最近のマルウェアスパムでは返信型のような巧妙な騙しの手口もあるため、正規のメールと誤解して添付の文書ファイルを開いてしまった場合でも、マクロ機能が有効化されなければ不正活動は開始されません。以下のようなアクティブコンテンツやマクロの無効化を確認するセキュリティ警告表示があった場合、いったん立ち止まり、けして「コンテンツの有効化」ボタンは押さないでください。ファイルを閉じてから、メールとファイルの正当性を再確認してください。
図:不正マクロを含む文書を開いた場合のセキュリティ警告表示の例
現在のOfficeの標準設定ではマクロ機能は無効になっていますが、上記のような確認メッセージが表示されることで逆に「有効化」してしまうケースが少なくないものと考えられます。マクロ機能を使用する必要がない場合には「警告を表示せずにすべてのマクロを無効にする」の設定に変更することも検討してください。具体的な設定方法に関してはマイクロソフト社の情報を参照ください。
図:Microsoft Officeの「セキュリティセンター」での「マクロ設定」画面の例
■トレンドマイクロの対策
本記事内で取り上げたマルウェアについては「ファイルレピュテーション(FRS)」技術により「TrojanSpy.Win32.EMOTET」などとして検出対応しています。従来型の技術での検出を免れるために継続して登場する新たな亜種に対しても、機械学習型検索や振る舞い検知、サンドボックスなどの多層の対策技術により防護可能です。「Web レピュテーション(WRS)」技術により、C&Cサーバなど関連する不正サイトのブロックに対応しています。「E-Mail レピュテーション(ERS)」技術によりマルウェアスパムなど不正メールのブロックに対応しています。
※調査協力: Trend Micro Research(小林 恵子)、サイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センター