マルウェア
復活したEMOTETの脅威動向解説:2022年第1四半期は日本での検出が最多
ボット型マルウェア「EMOTET」はサイバーセキュリティ業界でその名を馳せています。EMOTETを背後で操るオペレータが、スパムメールを使ってシステムを侵害した後、それらのシステムへのアクセス権を販売することに成功した為です。
ボット型マルウェア「EMOTET」はサイバーセキュリティ業界でその名を馳せています。EMOTETを背後で操るオペレータが、スパムメールを使ってシステムを侵害した後、それらのシステムへのアクセス権を販売することに成功した為です。これはマルウェアをサービスとして提供する悪名高い手口「Malware as a Service(MaaS)」の一環として、MaaS利用者の不正ペイロードをEMOTETに配信させることで実施されました。バンキングマルウェア「Trickbot」や、ランサムウェア「Ryuk」/「Conti」などの悪名高い脅威の背後にいるオペレータは、自身の攻撃活動にEMOTETを用いた攻撃者グループの1つです。
しかし、2021年2月1日の記事でお伝えした通り、同年1月27日にEUROPOL(欧州刑事警察機構)は、「EMOTET」ボットネットのテイクダウンを発表しました。作戦名「Operation Ladybird」と名付けられたこのテイクダウンは、EUROPOLとEUROJUST(欧州司法機構)の調整の下、合わせて8カ国の法執行機関などが共同して行ったものと発表されています。一旦テイクダウンされたものの、それから10か月に満たない2021年11月15日以降、各地のリサーチャからEMOTETの活動再開の報告があがりはじめました。トレンドマイクロも、EMOTETを拡散させるマルウェアスパム、新たなEMOTET本体とそのドロッパの検体、および遠隔操作サーバ(C&Cサーバ)などの活動再開を確認し、同年11月18日の記事で報告しました。米国セキュリティ企業「AdvIntel(Advanced Intelligence, LLC)社」の報告では、EMOTETはテイクダウンされる前からランサムウェアの初期侵入段階で重要な役割を果たしていたため、EMOTETのオペレータとのパートナーシップを継続したいと考えたContiのオペレータが、EMOTETの復活に大きな影響を与えたとしています。
2022年第1四半期トレンドマイクロは、EMOTETの新亜種を複数用いた感染活動をさまざまな地域(図1)や業界(図2)で数多く発見しました。トレンドマイクロの観測では、EMOTETの感染被害の多くは日本国内で確認されており、次いで「アジア太平洋地域(APAC)」、「ヨーロッパ、中東、およびアフリカ(EMEA)」地域の国々でした(図1)。図2に示す通りEMOTETの背後にいるオペレータは、製造 / 教育業界などの攻撃者にとって収益性の高い業界を狙って衆目を集めることで、自身の提供するMaaSを利用したいと考える潜在顧客を増やした可能性があります。
EMOTETの新たな攻撃手口
トレンドマイクロが観測したEMOTETスパムキャンペーンによる感染被害の急増は、新旧両方の手法を駆使してメッセージ内のリンク先URLにアクセスするようメール受信者を誘導し、表示されたEXCELファイルの「コンテンツの有効化」ボタンをクリックさせ、不正マクロを実行させる手口によって引き起こされたものと判明しました(図3)。トレンドマイクロが分析したEMOTETの新亜種は、以前の攻撃キャンペーンでも見つかった初期のダウンローダを備えていました。しかしこれらの新亜種は、EMOTETが以前にVBA(Microsoft Visual Basic for Applications)マクロを悪用していたのとは対照的に、古くから存在する機能である「Excel 4.0マクロ」を悪用して自身のダウンロード活動を実行していることが明らかとなりました(図3)。
EMOTETには、不正なEXCELファイルがセキュリティ機能の検知を回避できるようさまざまな難読化の手法が施されています。そのうちの1つが、URLに拡張子「.ocx」を持つファイル(図4)や、キャレット(^)(図12、13)を用いる手法です。これによりEMOTETは、コマンドラインにおける特定のキーワード / 拡張子を検知する従来型検出技術(パターンマッチング)の検出機能を回避できる可能性が高くなります。
さらにトレンドマイクロは、最近観測した一部のEMOTET検体がダウンロード活動を実行するためにBAT(バッチ)ファイル(図5、6)またはVBScriptファイル(図7、8)を投下(ドロップ)することを観測しました。
これまでの亜種とは異なり、最近観測したEMOTET検体は、自身のペイロードを直接ダウンロードして実行するという、より簡単な方法で動作します。これらの検体は、SysWow64フォルダ配下に存在するregsvr32.exeを使って自身のペイロードを実行します。これにより、64bit環境内で32bitバイナリを使ってペイロードが実行されます。これは現在EMOTETが64bit環境のみを標的としていることを示唆しており、EMOTETが攻撃対象を64bit版ローダに切り替えたと報じた最近のニュースとも一致します。
さらにトレンドマイクロは、64bit版ローダをダウンロードするためにWindowsのショートカットリンク(.lnk)ファイルを悪用する新たな手口も確認しました(図9)。これらの不正ショートカットリンクによりEMOTETは、ペイロードを実行するためにPowerShellコマンドを直接実行することができます。感染活動ごとに、ショートカット先として指定されたPowerShellを使って「.ps1」ファイルを作成した後、それを用いてEMOTETのペイロードをダウンロードして実行します(図10、11)。
これらの検体(EMOTET新亜種)で観測されたもう1つの注目すべき動作は、接続先IPアドレスに16進表記(図12) / 8進表記(図13)を用いる手口でした。これらのEMOTET新亜種は、上記の形式を用いてURLを難読化することで、パターンマッチングによる検出を回避し、自身のダウンロード活動を実行可能にします。
EMOTETのペイロード
EMOTETの古い亜種(32bit)は、核となるコマンドを7つ使用します。しかし今回分析したEMOTET検体のうち、32bit版の新亜種は核となるコマンドを6つのみ使用し、64bit版の新亜種は核となるコマンドを5つのみ使用することがわかりました(表1)。
| コマンド | 32bit版の新亜種が用いる実行手口 | 64bit版の新亜種が用いる実行手口 |
| 1 | パラメータ付きregsvr32.exeを使ってDLLをダウンロードし、実行する。 <Window>\regsvr32.exe /s <インストールフォルダ>\<ランダム>.dll <(ランダムに作成されたインストールフォルダにおける)Base64でエンコードされた文字列>\ (投下されたコピーのファイル名) |
regsvr32.exeを使ってDLLをダウンロードし、実行する <Windows>\regsvr32.exe <インストールフォルダ>\<ランダム>.dll <(ランダムに作成されたインストールフォルダにおける)Base64でエンコードされた文字列>\ (投下されたコピーのファイル名) |
| 2 | CreateThread経由でシェルコードを実行する | CreateThread経由でシェルコードを実行する |
| 3 | 実行ファイルをダウンロードした後、CreateProcessWを使って実行する(管理者権限がない場合) <インストールフォルダ>\<ランダム>.exe |
実行ファイルをダウンロードした後、CreateProcessWを使って実行する(管理者権限がない場合) <インストールフォルダ>\<ランダム>.exe |
| 4 | 実行ファイルをダウンロードした後、CreateProcessAsUserWを使って実行する(管理者権限がある場合) <インストールフォルダ>\<ランダム>.exe |
実行ファイルをダウンロードした後、CreateProcessAsUserWを使って実行する(管理者権限がある場合) <インストールフォルダ>\<ランダム>.exe |
| 5 | CreateThread経由でシェルコードを実行する | メモリ内にモジュールを読み込んだ後、エクスポートされた関数を実行する(LoadLibraryAまたはGetProcAddress経由) |
| 6 | regsvr32.exeを使ってDLLをダウンロードし、実行する <Window>\regsvr32.exe /s <インストールフォルダ>\<ランダム>.dll |
注:上記の<インストールフォルダ>には、実行モードにより、<AppDataLocal>\<ランダム> (管理者権限がない場合) あるいは <System>\<ランダム> (管理者権限がある場合)が当てはまります。
EMOTETの新亜種を分析した結果、2021年11月から2022年1月までの間にEMOTETに採用されていた実行機能「rundll32.exe」が段階的に廃止され、2022年2月時点で「regsvr32.exe /s」コマンドに置き換えられていたことが判明しました。それにもかかわらず、EMOTETの背後にいるオペレータは、自身の別のペイロードにモジュラアーキテクチャを採用しています。これに基づきこれらの新亜種は、これまでEMOTETが関与した攻撃キャンペーンと同じ感染チェーンを備えていると同時に、一部の亜種においては、攻撃目的に沿う動作ではなくモジュールの一部として、実行中のプロセスに関する情報を収集するための機能が組み込まれていると推測できます。
EMOTETのオペレータが活動を再開させる際に、自身のツール群に商用のペネトレーションテストツール「Cobalt Strike」を追加したことも特筆すべき点です。Cobalt Strikeが統合されたことで、EMOTETのMaaS利用者が標的組織のシステムへの足がかりを得る際に柔軟性が高まることから、攻撃対象となる企業や組織にとってはより大きなリスクとなります。トレンドマイクロはこれらの新機能を考慮し、今後数ヶ月の間にEMOTETを起点とする攻撃やEMOTETのMaaSを利用してランサムウェアなどの別のマルウェアを配信する事例が継続的に発生すると推測しています。
EMOTETと情報窃取型マルウェア「QAKBOT」の比較
トレンドマイクロは2022年1月以降、EMTOETと並行して情報窃取型マルウェア「QAKBOT」についても約300件の検体(QAKBOTローダ)を弊社のサポートケースで受理しました。トレンドマイクロがこれを分析・調査した結果(図15)、QAKBOTの攻撃チェーンにおいてEMOTETの攻撃チェーンと類似点があることを発見しました(図16)。
QAKBOTスパムには、メール受信者を騙して不正ダウンロードリンク(OneDrive URL等)をクリックさせようと試みるメッセージが記されていました(図17)。一方、転送メールを偽装したEMOTETスパムには、パスワードを用いて添付ファイル(.zip)を開くよう促すメッセージが記されていました(図18)。
QAKBOTの感染活動は、メール受信者に不正マクロを含むEXCELファイル(.xlsb)をダウンロードさせることから始まります(図19)。そして、EMOTETの感染活動も同様に、不正マクロを含むEXCELファイルが関与します。ただし、EMOTETの場合はファイル拡張子は「.xlsm」です(図20)。
QAKBOTとEMOTETが持つもう1つの重要な違いは、QAKBOTのダウンローダに埋め込まれたマクロシートのURLには、画像ファイル(.png)のダウンロードリンクが含まれているのに対し、EMOTETのマクロシートには含まれていないことです。これは、QAKBOTに採用された検出回避の手法であり、「.png」などの一般的な画像ファイルの拡張子をURLに用いることで、セキュリティ製品に不正と判断される可能性を低くしている可能性があります。
QAKBOT(図23)/ EMOTET(図24)の双方が感染活動に用いるEXCELファイルは、それぞれのペイロードを正規プロセス「regsvr32.exe」から実行しますが、QAKBOTだけがドライブ「C:\」に存在するフォルダ(ランダムな5文字)内に自身のペイロードを投下します(図25)。一方、EMOTETは、自身のペイロードをダウンローダの親ディレクトリ内に投下します(図26)。
セキュリティに関する推奨事項
企業や組織は、EMOTET / QAKBOTスパムキャンペーンによる被害を回避するために、従業員向けのセキュリティ意識向上トレーニングを拡充し、Eメールリプライチェーン攻撃などに対処する方法を共有する必要があります。また、以下のセキュリティ対策を講じることで、感染リスクを軽減することができます。
- MicrosoftのOfficeアプリ上でマクロ機能を無効に設定すること
- 普段から利用するWebサイトをブックマークしておき、メールなどを通じてURLリンクへのアクセスを要求された場合は、必ずブックマークからアクセスし直すこと。また、日頃からリンクをクリックする前に対象のURLにカーソルを合わせて、想定されるWebサイト以外のアドレスが表示されないかどうかを確認するようにしましょう。URLリンクをクリックする前にWebサイトの安全性を確認したい場合は、弊社の「Site Safety Center」をご利用いただくことも有効な手段です。
- 見慣れないメールアドレスや、メールアドレスに対する送信者名の不一致、企業になりすましたメールなどは、送信者に悪意があることを示すサインであるため、情報を共有し、適切に対処すること。
- メール送信者の身元を確認せずに添付ファイルをダウンロードすることは控えること
- AI技術や機械学習型検索などの高度な検出機能を有効化すること
トレンドマイクロの対策
トレンドマイクロ製品では、「ファイルレピュテーション(FRS)」技術により、EMOTETの本体およびダウンローダとなるOffice文書ファイルやショートカットリンクを不正ファイルとして検出対応しています。従来型技術(パターンマッチング)での検出を免れるために継続して登場する新たな亜種に対しても、機械学習型検索や振る舞い検知、サンドボックスなど、多層の対策技術により防護します。また、「Web レピュテーション(WRS)」技術によりダウンロードサイトやC&Cサーバなど関連する不正サイトをブロックする、「E-Mail レピュテーション(ERS)」技術によりマルウェアスパムなど不正メールをブロックする、といった対策も有効です。
その他、EMOTETの概要と対策方法についてはEMOTET特設ページにまとめていますので参照ください。特にEMOTETメールを開いてしまった場合の対応についてはサポートFAQを参照してください。
侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらをご参照ください。
参考記事:
• 「Bruised but Not Broken: The Resurgence of the Emotet Botnet Malware」
By: Adolph Christian Silverio, Jeric Miguel Abordo, Khristian Joseph Morales, Maria Emreen Viray
Additional insights by Jett Paulo Bernardo, Arianne Dela Cruz, Dexter Esteves, Gerald Fernandez, Mark Marti, Ryan Pagaduan, and Louella Darlene Sevilla
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)