Emotet、4月25日にアンインストール―法務執行機関ファイルデータ

2021年2月19日
コラム
Emotet, Trickbot
0件

　ネットワークセキュリティのチェック・ポイント・ソフトウェア・テクノロジーズによると、今年1月の脅威トップのマルウェアは1位Emotet、2位Phorpiex、3位Trickbotだったということです。Emotetに関しては欧州刑事警察機構がテイクダウンを発表しましたが、1月の段階では依然として脅威ファクターを維持しており今後の推移が注目されます。法執行機関は今年4月、感染ホストからEmotetをアンインストールする予定のようです。

1月の脅威、依然としてEmotetがトップ

　チェックポイントによると、サイバー脅威インテリジェンスを提供しているチェックポイントリサーチの今年1月のグローバル脅威指数は、前月に続いてEmotetがトップとなり世界の組織の6％に影響を与えたとのことです。一方で影響を受けた組織の数は前月より14％減ったと報告しています。Emotetについては1月27日に欧州刑事警察機構がテイクダウンを発表したことから、Emotetボットネットのインフラはすでに当局の掌中にあります。

　米司法省のプレスリリースによると、法執行機関がEmotetに感染したと思われる世界中の約160万台のコンピューターのインターネットプロトコルアドレスを特定し、Emotetマルウェアを法執行機関が作成したファイルに置き換える作業が行われています。このファイルはEmotetマルウェアが更新されるとダウンロードされるようです。そして、ファイルがダウンロードされるとEmotetボットネットの管理者が感染したコンピューターと通信することが出来なくなります。ファイルはEmotetに感染したコンピューターに新たなマルウェアがインストールされることを防ぎますが、すでにコンピューターにインストールされているマルウェアを修正する機能はないとのことです。

　サイバーセキュリティーの研究者らがダウンロードされた法執行機関ファイルを観察し、その内容についてツイッターで発信しています。それをもとにBleepingComputerなどが報じた記事によると、ダウンロードされた法執行機関のファイルは4月25日にEmotetをアンインストールするように設計されているということです。Emotetのボットネットは管理者との切り離しが行われていて、4月25日にEmotetそのものをアンインストールすることで壊滅を図る段取りのようです。

We are checking on the #Emotet 'cleanup binary'.

It seems the actual date to trigger the uninstall routine is April 25.

More details to come.

/cc @campuscodi @LawrenceAbrams https://t.co/OwM2trJdBu https://t.co/UpQjxZhMwY pic.twitter.com/8o3fjIwrz0
— Malwarebytes Threat Intelligence (@MBThreatIntel) January 28, 2021

マイクロソフトが破壊したTrickbotが活動再開

　一方、チェック・ポイント1月の脅威マルウェア3位のTrickbotは、金融機関の認証情報などを盗むトロイの木馬型バンキングマルウェアですが、最近はEmotetに乗っ取られたシステムに仕込まれ、ランサムウェアを配信するマルウェアとして注目されてきました。マイクロソフトは昨年10月、米大統領選挙に向けて選挙インフラを保護するためにTrickbotのボットネットを破壊する措置を講じたと発表しました。マイクロソフトによると、Trickbotのメカニズムを特定し、感染したTrickbotが通信をしているコマンドアンドコントロール(C＆C)サーバーの正確なIPアドレスを特定しました。米地方裁判所の停止命令を受けてTrickbotのC＆CサーバーのIPアドレスを無効にしたとのことです。この取り組みはマイクロソフトのほかFS-ISAC、ESET、LumenのBlack Lotus Labs、NTTなどとともに行われました。

　その結果、Trickbotの重要インフラの94％を排除。具体的にはC＆Cサーバーなど運用の中核を担っている69台のサーバーを特定し、うちIoTデバイスの7台を除く62台を無効にし、さらにTrickbotを操作している犯罪者の活動を追跡して、新たなサーバー59台を特定して、うち58台を無効にしたということです。マイクロソフトは、パートナーとともに世界中のTrickbotの運用に対処するために永続的、階層的なアプローチをとることを表明しており、Trickbotへの対処は今後も続いていくようです。そして、その言葉通りすでにTrickbotは活動を再開しているようです。

　アメリカのセキュリティ企業、Menlo Securityは1月末に同社のクラウドプラットフォームで観察された北米の法務および保険業界を対象にした攻撃についてレポートし、ターゲットに新しい手口でTrickbotがインストールされていることを明らかにしました。また、アメリカの脅威インテリジェンス企業のKryptos Logicによると、Trickbotに新たなモジュールが実装されており、このモジュールはTrickbotのネットワークを偵察するツールの１つとして使用されていると考えられるということです。マイクロソフトなどの取り組みによってインフラの多くが破壊されたTrickbotですが、犯罪者たちは新たなインフラを構築しつつTrickbotをバージョンアップすることで逃げ切りを図ろうしているようです。まさにいたちごっこのような展開ですが、サイバーセキュリティの専門家からはEmotetについても同様の展開を危惧する声も出ているようですので、4月25日に行われるとみられるEmotetのアンインストールまでの間の動向について注目していきたいと思います。

■出典

https://www.checkpoint.com/press/2021/january-2021s-most-wanted-malware-emotet-continues-reign-as-top-malware-threat-despite-takedown/

https://www.justice.gov/opa/pr/emotet-botnet-disrupted-international-cyber-operation

https://www.bleepingcomputer.com/news/security/heres-how-law-enforcements-emotet-malware-module-works/

https://blogs.microsoft.com/on-the-issues/2020/10/12/trickbot-ransomware-cyberthreat-us-elections/

https://blogs.microsoft.com/on-the-issues/2020/10/20/trickbot-ransomware-disruption-update/

https://www.menlosecurity.com/blog/trickbot-new-year-old-lure

https://www.kryptoslogic.com/blog/2021/02/trickbot-masrv-module/

https://www.bankinfosecurity.co.uk/updated-trickbot-deploys-fresh-reconnaissance-tool-a-15926?utm_medium=email&_hsmi=109753230&_hsenc=p2ANqtz-89lmCxsbbj4CsOtommWWPFHKLAw6Ln9UtSfWiLLm0kfIqs00yjBSfUuLwcTYolJU9AVW-7UUwRUEhEB88_rj8rl25v3w&utm_content=109753230&utm_source=hs_email