マルウェア
EMOTETが約4か月ぶりに攻撃メール送信を再開
この3月7日、EMOTETボットネットが攻撃メール送信を再開しました。EMOTETは不定期にメール送信活動の休止と再開を繰り返していますが、再開後には攻撃手法の変化が多く見られます。今回の攻撃メール再開にあたって、注意すべき変化はあったのでしょうか?
日本時間の3月7日夜、トレンドマイクロではEMOTETボットネットから攻撃メール送信が再開されたことを確認しました。EMOTETは2022年7月中旬以降、11月の一時的な再開を除き、攻撃メール送信が停止状態となっていました。2023年に入り、1月上旬にはローダーモジュールの配布再開などが確認されていたため、攻撃メール再開が懸念されていましたが、そこからもまた1か月以上経過しての攻撃メール再開となります。EMOTETは不定期にメール送信活動の休止と再開を繰り返していますが、再開後には攻撃手法の変化が多く見られてきました。本記事では、今回再開された攻撃メールの手口について解説いたします。
再開された攻撃メールの内容:
上図で示したように、EMOTETの攻撃メールは以前同様、「返信型」が主になっているようです。
また、現在までに確認しているところでは、以前の攻撃メールと内容的に大きな相違はありません:
- 添付ファイルはZIPファイルだが、パスワードはかかっていない
- ZIPファイルの内容はWordファイル(.doc)
- 解凍後のWordファイルのサイズは500MB以上(※Wordファイルには大量のヌルコード(0x00)がファイル後方に存在し、意図的にコードを追加してファイルサイズを大きくしたものと考えられる)
- Wordファイル内には不正VBAマクロが含まれており、マクロを有効化すると最終的にEMOTET本体であるDLLファイルがダウンロードされ、実行される
これまでのEMOTETの攻撃メールではExcel文書ファイルが悪用されることが多く見られていましたが、今回はWord文書ファイルでした。ただしその実行方法としては、以前同様にOffice文書内のマクロ実行により最終的にEMOTET感染に繋がるものです。Office文書内の不正マクロに関しては、既にOfficeの最新バージョンでは昨年からインターネットから入手した文書ファイルに関してマクロ無効の措置が取られているため、受信者が意図的にマクロを有効化しない限り、感染の危険はありません。ただし、解凍ツールによってはインターネットから入手されたファイルであることを示す「Mark of the Web(MOTW)」の設定が引き継がれないこともあるため、注意が必要です。
このOfficeのマクロ無効化対策に対し、長期休養明けのEMOTETがどのような回避策を講じてくるかは注目の的となっていました。しかし、今回確認された内容からは特に新たな回避策は見られず、ほぼ以前のままの攻撃であるというところは対策の上では逆にポイントと言える部分です。
不正マクロ実行後にダウンロードされるEMOTET本体(ローダ)のDLLも500MB以上のファイルサイズとなっていました。ただし、そのほとんどの部分がオーバレイの余剰データとなっており、ここでも意図的にファイルサイズを大きくしていることが推測されます。このファイルサイズの「水増し」はセキュリティ製品によってはファイルサイズによってスキャン対象から外れる場合があることを意識したものと推測されます。
最終的にダウンロードされたDLLがWindows標準のregsvr.exeに読み込まれて実行されることでEMOTET本体の活動が開始します。この実行の際、DLLファイルは%localappdata%フォルダに保存されます。
まだ攻撃メールの再開が確認されたばかりであるため、今後の活動内容の変化には注意が必要です。また、前回2022年11月に攻撃メールが再開された際には10日間前後でまた休止に入ったため、この攻撃メール再開が本格的なものなのか、一時的なものなのかについても注視してまいります。
被害に遭わないためには
このように、今回確認されたEMOTETの攻撃メールは特に以前からの変化に乏しいものでした。これはインターネット利用者にとっては朗報と言えます。添付ファイルがExcelであるかWordであるかに関わらず、最新のOfficeを使用していれば安易にマクロを実行してしまう不安はありません。圧縮ファイルの解凍ツールがMOTW設定を引き継ぐものかどうかについては留意が必要ですが、Windowsでは標準でZIPに対応しているため、エクスプローラーで開くことで懸念は解消できます。
また、そもそもメールの添付ファイルを開く際にはその正当性を確認することを意識してください。メール経由で拡散するマルウェアはEMOTETの他にもQAKBOTやIcedIDなど情報窃取、ボット系が多く存在します。EMOTETかどうかに関わらず、メールなどで送られてくるファイルには常に注意してください。
トレンドマイクロの対策
トレンドマイクロ製品では、「ファイルレピュテーション(FRS)」技術により、EMOTETの本体を「TrojanSpy.Win32.EMOTET」、ダウンローダである不正マクロを含むOffice文書ファイルを「Possible_OLEMAL」、「Trojan.W97M.EMOTET」などとして順次検出対応しています。従来型技術での検出を免れるために継続して登場する新たな亜種に対しても、機械学習型検索や振る舞い検知、サンドボックスなどの多層の対策技術により防護します。また、「Web レピュテーション(WRS)」技術によりC&Cサーバなど関連する不正サイトのブロックに、「E-Mail レピュテーション(ERS)」技術によりマルウェアスパムなど不正メールのブロックに対応しています。
その他、EMOTETの概要と対策方法についてはEMOTET特設ページにまとめていますので参照ください。特にEMOTETメールを開いてしまった場合の対応についてはサポートFAQを参照してください。
※調査協力:サイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センター