2019年の秋より日本で感染が拡大しているEmotetによる攻撃では、EmotetがTrickbotを配布し、その後、ランサムウェアであるRyukが展開する流れが指摘されている。セキュリティベンダーのSentinelOneが運営するSentinelLabs(https://labs.sentinelone.com/)の最近のブログによると、Ryukの展開にはCobalt StrikeというEmotetの亜種が悪用されているようだ。
Emotet(エモテット)とは
Emotetはもともと金融機関の情報を盗むために設計されたトロイの木馬だが、最近の亜種はTrickbotなどのマルウェアを配布することが確認されている。スパムメールに添付されたEmotetは、Officeドキュメントを使用してペイロードをダウンロードしてコンピューターに感染しTrickbotなどを配布する。
Emotet感染からランサムウェアに感染するまでの流れ
Trickbotは金融機関の口座情報などを窃取して不正送金を行うバンキング型トロイの木馬として知られ、2016年に最初に確認された。その管理者は東ヨーロッパに本拠を置き、サイバー犯罪者にTrickbotを提供しているとも言われている。Emotetの攻撃では、Trickbotによって情報を窃取した後、ランサムウェアのRyukによりデータを人質にして身代金を要求するケースが確認されている。
SentinelLabsは、今年1月のブログでTrickBotのサイバー犯罪グループが最新のサイバーセキュリティに対応したより攻撃的なツールを開発していることを指摘し、TrickBotを通じて感染する新たなマルウェア、PowerTrickの詳細を明らかにした。SentinelLabsはさらに最近のブログで、TrickBotの運営者がPowerTrickとCobalt Strikeを悪用してRyukをアップロードしているとし、その詳細について明らかにしている。
Cobalt Strikeとは
Cobalt Strikeは、敵対的なサイバーシミュレーション演習や実践的にサイバーセキュリティを評価する際に使われるマルウェアを模倣した商用ソフトウェア。JPCERT/CCは2018年7月に、2017年7月頃から国内の組織に対してCobalt Strikeを悪用した攻撃が行われているとして注意を喚起している。JPCERT/CCによると、 Cobalt Strikeは、ダウンローダーとなるWord文書などを用いて、本体となるペイロード(Cobalt Strike Beacon)をダウンロードさせることで、メモリ上で実行される。また、 Cobalt Strike Beaconはディスク上に保存されないため、ファイルの存在を持って感染の有無を確認することができないという。
参照①:Inside a TrickBot Cobalt Strike Attack Server
参照②:Top-Tier Russian Organized Cybercrime Group Unveils Fileless Stealthy “PowerTrick” Backdoor for High-Value Targets