休止していたEmotetが活動を再開したということです。Emotet研究グループCryptolaemusは「添付されたXLSファイルと、圧縮されたパスワードで保護されたXLSに注意してください」とツイートしています。
昨年11月に復活も今年6月に停止していた
Emotetは2021年1月に欧州刑事警察機構(Eurpol)と欧米各国の取り組みによりテイクダウンされ、同年4月には感染ホストからEmotetが削除されて壊滅が図られました。しかし、同年11月にEmotetの新しい亜種がTrickbotに感染しているシステムで確認され、壊滅したはずのEmotetが再び出現したことが明らかになりました。再生したEmotetは、自らがダウンローダーとなって配布したTrickbotのインフラを利用して息を吹き返し、Emotetのインフラを再構築したとみられています。
昨年11月以降、Emotetによる影響は日本でも確認され、JPCERTは今年2月10日に「2月第一周よりEmotetの感染が急速に拡大している」として注意喚起を発出し、3月にはEmotetに感染しメール送信に悪用された可能性のあるjpメールアドレスが2020年の感染ピーク時の5倍以上に急増しているとしてさらなる注意を喚起しています。JPCERTの注意喚起と対策告知は今年5月まで続きましたが、Emotetは今年6月になぜか突然、スパム行為を停止したことからJPCERTの注意喚起も5月27日の更新後は更新されていません。
そんなEmotetが活動を再開したことが確認されたことから警戒感が広がっています。メディアBleepingComputerによると、再開したEmotetメールが悪意のあるExcel添付ファイルを配布しているということですが、感染したデバイスにマルウェアペイロードの投下は確認されていないということです。一方、サイバーセキュリティ企業のProofpointはEmotetボットネットが新しいIcedIDローダーの開発ビルドとみられるものを配布していることを確認した、としています。
再開したEmotetの日本語メールも確認される
これまでEmotetは、TrickBotそしてCobaltStrikeビーコンをインストロールし、インストロールされたCobaltStrikeビーコンは、ネットワーク上で横に広がり、データを窃取し、最終的にはデータを暗号化するランサムウェアの初期アクセスに使用され、Ryuk、Contiランサムウェアの初期アクセスとしての役割を担ってきました。
ProofpointによるとEmotetメールはアメリカ、イギリス、日本、ドイツ、イタリア、フランス、メキシコ、ブラジルなどを標的にしているということで、再開したEmotetの日本語メールもすでに確認されています。
これまでEmotetが初期アクセスを担ってきたランサムウェアRyukやContiは、いずれもロシアを拠点とするサイバー犯罪グループによって担われてきたとみられ、クラウドストライクによると、このサイバー犯罪グループはTrickBotの作成、運用でその存在が知られるようになり、その後、Ryuk、Conti、BazarLoderなどを開発して運用してきたということです。このサイバー犯罪グループは、今年2月のロシアによるウクライナへの侵攻に際しロシアへの全面的な支持を表明したところ、ウクライナのサイバーセキュリティ研究者によりContiのランサムウェア攻撃に関する6万件以上の内部メッセージが暴露され、その後、Contiランサムウェアは閉鎖され、関連インフラもオフラインになりました。
一方、Emotetは昨年11月にTrickBotのインフラを利用して復活し、その後、活動を活発化させて日本でも2020年の感染ピーク時の5倍以上もの感染が確認される事態となりましたが、今年6月に突然活動を休止し、11月2日に活動を再開しました。Emotetがなぜ活動を休止し、その後再開したのか、詳細は不明ですが、関連するマルウェアはいずれもロシアを拠点とするサイバー犯罪グループと関係している可能性があることから、Emotetの今後の動向とともに関連するマルウェアの動向、そしてロシアを拠点とするサイバー犯罪グループの実態が注目されます。
■出典
https://twitter.com/Cryptolaemus1/status/1587792659275448320