Emotetの現状 – 2023年最新動向を解説

2021年一時的に活動停止に追い込まれましたが、2021年11月に活動を再開。本ブログでは、再開後のEmotetの活動概要を説明します。

Jakub Kaloč 7 July 2023

Emotetは2014年から活動しているマルウェア系統の1つであり、MealybugまたはTA542として知られるサイバー犯罪組織によって運営されています。Emotetは当初は銀行を標的とするトロイの木馬でしたが、後にボットネットへと進化し、世界で最も拡散した脅威の1つとなりました。Emotetはスパムメールから拡散し、侵害したコンピュータの情報を外部に送信し、別組織のマルウェアを展開しています。Emotetは、特定の標的を攻撃しているわけではなく、個人から大規模企業のシステムにもマルウェアをインストールしています。

2021年1月、欧州司法機構と欧州刑事警察機構によって組織された8か国による国際的な共同作戦によって、Emotetの攻撃基盤がテイクダウンされました。この作戦によってEmotetの活動は一時的に停止に追い込まれましたが、2021年11月に活動を再開しました。

本ブログの要点

  • Emotetは、テイクダウン後に活動を再開してから、いくつものスパムキャンペーンを展開しています。
  • その後、Mealybugは新しい複数のモジュールを開発しており、既存のすべてのモジュールにも何度も手を加えて、改良しています。
  • Emotetのオペレーターは、ボットネットが復活してから、監視と追跡を回避するために膨大な労力を費やしています。
  • 現在、Emotetの活動は沈静化しています。これは、新しい効果的な攻撃方法を見つけることができていないためだと考えられます。

 

スパムキャンペーン

Emotetが活動を再開し、2021年末には複数のスパムキャンペーンが展開されました。2022年の初めもこの傾向は続き、Emotetのオペレーターが開始したいくつものスパムキャンペーンを、ESETは確認しています。これらのキャンペーンでは、主にVBAマクロを埋め込んだ悪意のあるMicrosoft WordやMicrosoft Excel文書からEmotetは拡散されています。

2022年7月、マイクロソフトは、インターネットから入手した文書のVBAマクロを無効にすることで、悪意のある文書を添付したフィッシングメールをマルウェアの拡散手段として使用していたEmotetやQbotなどのマルウェアへの対策を行いました。2022年の初めにマイクロソフトは、VBAマクロをデフォルトで無効にすることを発表し、当初は4月上旬にアップデートが配信されましたが、ユーザーからの否定的なフィードバックがあったため、そのアップデートはロールバックされました。最終的なアップデートは2022年7月末に提供されました。図2に示すように、このアップデートによりEmotetによる侵害の件数は大幅に減少し、2022年の夏には目立った活動は見られなくなりました。

Emotetの主な攻撃方法が無効化されたことで、Emotetのオペレーターは標的を侵害するための新たな方法を模索するようになりました。Mealybugは、悪意のあるLNKファイルとXLLファイルを使用する実験的な攻撃を開始するなど、2022年末までは、VBAマクロと同じような効果をもたらす新しい攻撃手法を模索していました。2023年には、特徴がそれぞれ異なる3つのマルスパムキャンペーンを実施し、異なる侵入経路とソーシャルエンジニアリングの手法をテストしています。攻撃の規模が縮小し、手法を絶えず変更していることは、攻撃の効果についてEmotetのオペレーターが満足していないためだと考えられます。

これら3つの中の最初のキャンペーンは2023年3月8日頃に発生しました。このキャンペーンではEmotetボットネットが悪意のあるVBAマクロを埋め込んだWord文書を、請求書のように偽装して配信しました。マイクロソフトによってVBAマクロはデフォルトで無効にされており、標的ユーザーは埋め込まれた悪意のあるコードを実行できないため、この攻撃は不可解でした。

3月13日から3月18日にかけて実施された2つ目のキャンペーンでは、攻撃者はこれらの欠陥を認識したと見られ、リプライチェーン攻撃の手法を使用し、VBAマクロからVBScriptsを埋め込んだOneNoteファイル(ONE)へ切り替えています。標的ユーザーがこのファイルを開くと、保護されているように見えるOneNoteページが表示され、ファイルの内容を見るには「表示」ボタンをクリックするよう求められます。このグラフィック要素の背後には、EmotetのDLLをダウンロードするように設定されたVBScriptが隠されています。

OneNoteは、この操作によって悪意のあるコンテンツが開かれる可能性があることを警告しますが、ユーザーはこのような確認画面をクリックすることが習慣化していることもあり、攻撃者にデバイスを侵害される恐れがあります。

ESETのテレメトリ(監視データ)で観測された最後のキャンペーンは3月20日に開始されています。このキャンペーンは、米国における所得税の納付期限が迫っている状況に便乗していました。ボットネットによって送信された悪意のあるメールは、アメリカ連邦政府機関の内国歳入庁(IRS)から送信されているように装い、W-9 form.zipという名前のアーカイブファイルが添付されていました。このZIPファイルには、悪意のあるVBAマクロが埋め込まれたWord文書が含まれていましたが、標的となったユーザーがこのマクロを有効にしなければ、攻撃は成功しなかったはずです。米国のユーザーを標的としたこのキャンペーンとは別に、VBScriptsとOneNoteを組み込んだ手法を利用する別のキャンペーンも同時に進行していました。

図3に示すように、ESETが検出した攻撃の多くは日本(43%)とイタリア(13%)を標的としていましたが、これらの国はESET製品を導入しているユーザーが多いため、この数字には偏りがある可能性があります。他国の状況を調べるため、これらの上位2か国を除外すると、図4に示すように、スペイン(5%)が3位であり、メキシコ(5%)、南アフリカ(4%)が続き、世界の他の国も標的となっていることがわかります。

保護と難読化の強化

Emotetは活動を再開してから、数回アップグレードしています。注意すべき最初の特徴は、ボットネットが暗号スキームを切り替えたことです。Emotetはテイクダウンの前までは、主に非対称鍵暗号のRSAを使用していましたが、復活してからはEmotetのボットネットは楕円曲線暗号を使用するようになりました。現在、すべてのダウンローダーモジュール(メインモジュールとも呼ばれます)には2つの公開鍵が埋め込まれています。1つは、楕円曲線ディフィー・ヘルマン鍵交換プロトコルに使われ、もう1つは署名検証(デジタル署名アルゴリズム)に使用されています。

Emotetマルウェアは64ビットアーキテクチャに更新されましたが、それ以外にも、MealybugはEmotetのモジュールを保護するためにいくつもの新しい難読化の手法を実装しています。注意すべき最初の難読化手法は制御フローの平坦化です。この手法によって、Emotetモジュールの解析やコードの重要部分の特定に膨大な時間が必要となります。

Mealybugはまた、多くのランダム化の手法を実装して改良しています。これらのランダム化の手法の中で最も注意が必要なのは、構造体要素の順序のランダム化と、定数を計算する命令のランダム化です。この手法では、定数がマスクされています。

特筆すべきもう1つのアップデートはEmotetモジュールでタイマーキューが使用されたことです。このアップデートは2022年の最後の四半期に行われました。これらのタイマーキューによって、モジュールのメイン関数とモジュールの通信部分がコールバック関数として設定され、複数のスレッドから呼び出されるようになりました。これらすべてが制御フローの平坦化と組み合わされており、呼び出すべきコードブロックを管理する状態値がスレッド間で共有されるようになりました。この難読化によって、分析が複雑になり、実行フローを追跡することがさらに難しくなりました。

新しいモジュール

Mealybugは、マルウェアを広く拡散し、収益性を維持するため、複数の新しいモジュールを実装しています。これらの新しいモジュールを図5に黄色で示しています。ボットネットの防御メカニズムとして機能するモジュール、マルウェアをより効率的に拡散させるためのモジュール、そして、標的組織の金銭を窃取するために使用できる情報窃取モジュールが追加されています。

Thunderbirdのメールと連絡先を盗み出すモジュール

Emotetはスパムメールを介して拡散しますが、メールスレッドをハイジャックする手法を効果的に悪用しており、これらのスパムメールを多くのユーザーが信用しています。Emotetはテイクダウンの前には、Outlook Contact StealerとOutlook Email Stealerと呼ばれる、Outlookのメールと連絡先情報を窃取するモジュールを使用していました。しかし、すべてのユーザーがOutlookを使用しているわけではないため、Emotetはテイクダウン後に、無料のメールアプリケーションであるThunderbirdからもメールと連絡先情報を窃取するようになりました。

Emotetは侵入したコンピュータにThunderbird Email Stealerモジュールを展開し、Thunderbirdのメールを窃取する場合があります。このモジュールは、受信したメッセージを含むThunderbirdのファイル(MBOX形式)を検索し、送信者、受信者、件名、日付、メッセージの内容などの複数のフィールドのデータを盗み出します。これらの情報はすべてC&Cサーバーに送信され、さらに処理されます。

Emotetは、メール情報を窃取するThunderbird Email Stealerと一緒に、Thunderbirdから連絡先情報を窃取するThunderbird Contact Stealerも展開します。このモジュールも、Thunderbirdのファイルを検索しますが、受信したメッセージと送信したメッセージの両方を検索します。メール情報を窃取するモジュールとこのモジュールが異なる点は、送信者、送信先、CCフィールドから情報を抽出し、誰が誰と通信しているかを示す内部的なグラフを作成することです。次に、このモジュールは盗み出した連絡先を選別し、最も多く交流しているユーザーを特定して、この情報をC&Cサーバーに送信します。

この処理は、テイクダウンの前から存在していたMailPassView StealerモジュールとSpammerモジュールの2つの追加モジュールによって補完されます。MailPassView Stealerは、パスワードを復元するNirSoftの正規のツールを悪用し、メールアプリケーションから認証情報を盗み出します。Mealybugは、メールの内容、認証情報、そしてユーザー間のつながりの情報を窃取および処理し、既存の会話への返信のように見せかけた悪意のあるメールを作成し、窃取した認証情報と一緒にそれらのメールをSpammerモジュールに送信します。

 

Google Chrome Credit Card Stealer

モジュール名が示すように、Google Chrome Credit Card StealerはGoogle Chromeブラウザに保存されているクレジットカード情報を盗み出します。この操作のために、モジュールは静的にリンクされたSQLite3ライブラリを使用して、通常、%LOCALAPPDATA%\Google\Chrome\User Data\Default\Web Dataに保存されている「Web Data」データベースファイルにアクセスします。このモジュールは、credit_cardsテーブルに対して、name_of_card、expiration_month、expiration_year、card_number_encryptedをクエリーし、デフォルトのGoogle Chromeプロファイルに保存されているクレジットカード情報を検索します。最後のステップで、%LOCALAPPDATA%\Google\Chrome\User Data\Local Stateファイルに保存されている鍵を使用して、card_number_encryptedの値を復号化し、すべての情報をC&Cサーバーに送信します。

 

SysteminfoおよびHardwareinfoモジュール

Emotetが活動を再開した2021年11月の直後に、Systeminfoと呼ばれる新しいモジュールが追加されました。このモジュールは侵害したシステムに関する情報を収集し、C&Cサーバーに送信します。収集される情報は以下の通りです。

  • systeminfoコマンドの出力
  • ipconfig /allコマンドの出力
  • nltest /dclist: コマンドの出力(2022年10月に削除)
  • プロセスのリスト
  • 秒単位のアップタイム(GetTickCountで取得)(2022年10月に削除)

2022年10月に、Emotetのオペレーターは新しい別のモジュールを展開しました。ESETは、このモジュールをHardwareinfoと命名しました。このモジュールは、侵害されたマシンのハードウェア情報だけを盗むわけではありませんが、Systeminfoモジュールを補完する役割を担っています。このモジュールは、侵害されたマシンから以下のデータを収集します。

  • コンピュータ名
  • ユーザー名
  • メジャーおよびマイナーバージョン番号を含むOSのバージョン情報
  • セッションID
  • CPUブランドを示す文字列
  • RAMサイズと使用状況に関する情報

これらの両方のモジュールの主な目的は、Emotetが侵害した被害者から実際に通信が行われていることを検証することです。特に、Emotetが活動を再開して以降、コンピュータセキュリティ業界や研究者で非常に大きく取り上げられてきた経緯があることから、Mealybugは活動が追跡または監視されないようにする機能を追加するために膨大な労力を費やしています。データを収集するだけでなく、追跡や解析を妨害する手法を取り入れたこれらの2つのモジュールから収集される情報によって、Mealybugは、マルウェア研究者による操作やサンドボックスと、実際の標的ユーザーを見分ける能力を大幅に向上しています。

EMOTETの今後の予測

Emotetのボットネットは、エポックと呼ばれる個別のボットネット上で運用されていますが、ESETのテレメトリによると、Emotetボットネットの両方のエポックの活動は、2023年4月初めから沈静化しています。現在のところEmotetのオペレーターが新たに休暇を取っているのか、新しい効果的な侵害方法を模索しながら研究を続けているのか、新たな別のオペレーターがボットネットを運用しているのかは不明のままです。

2023年1月にEmotetボットネットの1つまたは両方のエポックが別のオペレーターに売却されたという噂がありましたが、ESETはその事実を確認していません。ただし、エポックの1つで異常な活動が見られています。ダウンローダーモジュールの最新アップデートには、モジュールの内部状態をログに記録し、その実行をファイルC:\JSmith\Loaderで追跡する新しい機能が含まれています(図6および図7を参照)。このファイルは、何らかの情報を記録するためのものであり、このモジュールの機能や仕組み完全に理解していないユーザー向けのデバッグ出力のようにも見えます。また、Spammerモジュールは、これまでMealybugが安全だと考えたマシンでのみに使用しており、重要なモジュールとして扱ってきましたが、Emotetボットネットは同時期にSpammerモジュールも広く配信するようになっています。

move(図8)は、さらにシンプルなLuaスクリプトです。攻撃したコンピュータを管理するC&Cサーバーを別のサーバーに切り替えるために使用されます。ハードコードされているSunSeedのC&Cサーバーは更新できません。そのため、C&Cを切り替えるには、マシンのセキュリティを最初に侵害したときと同じように、新しいMSIインストーラーをダウンロードし、実行しなければなりません。

ボットネットの活動が沈静化している理由はわかりませんが、Emotetの脅威は十分に認識されており、オペレーターはボットネットの再構築と維持に努めており、いくつかの改良を加えています。今後もESETのブログなどの情報を定期的に確認し、今後のEmotetの動向について確認するようにしてください。

IOC(セキュリティ侵害の痕跡)

ファイル

SHA-1ファイル名ESETの検出名説明
D5FDE4A0DF9E416DE02AE51D07EFA8D7B99B11F2N/AWin64/Emotet.ALEmotet Systeminfoモジュール。
1B6CFE35EF42EB9C6E19BCBD5A3829458C856DBCN/AWin64/Emotet.ALEmotet Hardwareinfoモジュール。
D938849F4C9D7892CD1558C8EDA634DADFAD2F5AN/AWin64/Emotet.AOEmotet Google Chrome Credit Card Stealerモジュール。
1DF4561C73BD35E30B31EEE62554DD7157AA26F2N/AWin64/Emotet.ALEmotet Thunderbird Email Stealerモジュール。
05EEB597B3A0F0C7A9E2E24867A797DF053AD860N/AWin64/Emotet.ALEmotet Thunderbird Contact Stealerモジュール。
0CEB10940CE40D1C26FC117BC2D599C491657AEBN/AWin64/Emotet.AQEmotetダウンローダーモジュール(タイマーキューで難読化されたバージョン)。
8852B81566E8331ED43AB3C5648F8D13012C8A3BN/AWin64/Emotet.ALEmotetダウンローダーモジュール(x64バージョン)。
F2E79EC201160912AB48849A5B5558343000042EN/AWin64/Emotet.AQEmotetダウンローダーモジュール(デバッグ文字列があるバージョン)。
CECC5BBA6193D744837E689E68BC25C43EDA7235N/AWin32/Emotet.DGEmotetダウンローダーモジュール(x86バージョン)。

ネットワーク

IPドメインホスティングプロバイダー最初に確認された日付詳細
1.234.2[.]232N/ASK Broadband Co LtdN/AN/A
1.234.21[.]73N/ASK Broadband Co LtdN/AN/A
5.9.116[.]246N/AHetzner Online GmbHN/AN/A
5.135.159[.]50N/AOVH SASN/AN/A
27.254.65[.]114N/ACS LOXINFO Public Company Limited.N/AN/A
37.44.244[.]177N/AHostinger International LimitedN/AN/A
37.59.209[.]141N/AAbuse-C RoleN/AN/A
37.187.115[.]122N/AOVH SASN/AN/A
45.71.195[.]104N/ANET ALTERNATIVA PROVEDOR DE INTERNET LTDA - MEN/AN/A
45.79.80[.]198N/ALinodeN/AN/A
45.118.115[.]99N/AAsep Bambang GunawanN/AN/A
45.176.232[.]124N/ACABLE Y TELECOMUNICACIONES DE COLOMBIA S.A.S (CABLETELCO)N/AN/A
45.235.8[.]30N/AWIKINET TELECOMUNICAÇÕESN/AN/A
46.55.222[.]11N/ADCCN/AN/A
51.91.76[.]89N/AOVH SASN/AN/A
51.161.73[.]194N/AOVH SASN/AN/A
51.254.140[.]238N/AAbuse-C RoleN/AN/A
54.37.106[.]167N/AOVH SASN/AN/A
54.37.228[.]122N/AOVH SASN/AN/A
54.38.242[.]185N/AOVH SASN/AN/A
59.148.253[.]194N/ACTINETS HOSTMASTERN/AN/A
61.7.231[.]226N/AIP-network CAT TelecomN/AN/A
61.7.231[.]229N/AThe Communication Authoity of Thailand, CATN/AN/A
62.171.178[.]147N/AContabo GmbHN/AN/A
66.42.57[.]149N/AThe Constant Company, LLCN/AN/A
66.228.32[.]31N/ALinodeN/AN/A
68.183.93[.]250N/ADigitalOcean, LLCN/AN/A
72.15.201[.]15N/AFlexential Colorado Corp.N/AN/A
78.46.73[.]125N/AHetzner Online GmbH - Contact Role、ORG-HOA1-RIPEN/AN/A
78.47.204[.]80N/AHetzner Online GmbHN/AN/A
79.137.35[.]198N/AOVH SASN/AN/A
82.165.152[.]127N/A1&1 IONOS SEN/AN/A
82.223.21[.]224N/AIONOS SEN/AN/A
85.214.67[.]203N/AStrato AGN/AN/A
87.106.97[.]83N/AIONOS SEN/AN/A
91.121.146[.]47N/AOVH SASN/AN/A
91.207.28[.]33N/AOptima Telecom Ltd.N/AN/A
93.104.209[.]107N/AMNETN/AN/A
94.23.45[.]86N/AOVH SASN/AN/A
95.217.221[.]146N/AHetzner Online GmbHN/AN/A
101.50.0[.]91N/APT. Beon IntermediaN/AN/A
103.41.204[.]169N/APT Infinys System IndonesiaN/AN/A
103.43.75[.]120N/AChoopa LLC administratorN/AN/A
103.63.109[.]9N/ANguyen Nhu ThanhN/AN/A
103.70.28[.]102N/ANguyen Thi OanhN/AN/A
103.75.201[.]2N/AIRT-CDNPLUSCOLTD-THN/AN/A
103.132.242[.]26N/AIshan's NetworkN/AN/A
104.131.62[.]48N/ADigitalOcean, LLCN/AN/A
104.168.155[.]143N/AHostwinds LLC.N/AN/A
104.248.155[.]133N/ADigitalOcean, LLCN/AN/A
107.170.39[.]149N/ADigitalOcean, LLCN/AN/A
110.232.117[.]186N/ARackCorpN/AN/A
115.68.227[.]76N/ASMILESERVN/AN/A
116.124.128[.]206N/AIRT-KRNIC-KRN/AN/A
116.125.120[.]88N/AIRT-KRNIC-KRN/AN/A
118.98.72[.]86N/APT Telkom Indonesia APNIC Resources ManagementN/AN/A
119.59.103[.]152N/A453 Ladplacout JorakhaebuaN/AN/A
119.193.124[.]41N/AIP ManagerN/AN/A
128.199.24[.]148N/ADigitalOcean, LLCN/AN/A
128.199.93[.]156N/ADigitalOcean, LLCN/AN/A
128.199.192[.]135N/ADigitalOcean, LLCN/AN/A
129.232.188[.]93N/AXneelo (Pty) LtdN/AN/A
131.100.24[.]231N/AEVEO S.A.N/AN/A
134.122.66[.]193N/ADigitalOcean, LLCN/AN/A
139.59.56[.]73N/ADigitalOcean, LLCN/AN/A
139.59.126[.]41N/ADigital Ocean Inc administratorN/AN/A
139.196.72[.]155N/AHangzhou Alibaba Advertising Co.,Ltd.N/AN/A
142.93.76[.]76N/ADigitalOcean, LLCN/AN/A
146.59.151[.]250N/AOVH SASN/AN/A
146.59.226[.]45N/AOVH SASN/AN/A
147.139.166[.]154N/AAlibaba (US) Technology Co., Ltd.N/AN/A
149.56.131[.]28N/AOVH SASN/AN/A
150.95.66[.]124N/AGMO Internet Inc administratorN/AN/A
151.106.112[.]196N/AHostinger International LimitedN/AN/A
153.92.5[.]27N/AHostinger International LimitedN/AN/A
153.126.146[.]25N/AIRT-JPNIC-JPN/AN/A
159.65.3[.]147N/ADigitalOcean, LLCN/AN/A
159.65.88[.]10N/ADigitalOcean, LLCN/AN/A
159.65.140[.]115N/ADigitalOcean, LLCN/AN/A
159.69.237[.]188N/AHetzner Online GmbH - Contact Role、ORG-HOA1-RIPEN/AN/A
159.89.202[.]34N/ADigitalOcean, LLCN/AN/A
160.16.142[.]56N/AIRT-JPNIC-JPN/AN/A
162.243.103[.]246N/ADigitalOcean, LLCN/AN/A
163.44.196[.]120N/AGMO-Z com NetDesign Holdings Co., Ltd.N/AN/A
164.68.99[.]3N/AContabo GmbHN/AN/A
164.90.222[.]65N/ADigitalOcean, LLCN/AN/A
165.22.230[.]183N/ADigitalOcean, LLCN/AN/A
165.22.246[.]219N/ADigitalOcean, LLCN/AN/A
165.227.153[.]100N/ADigitalOcean, LLCN/AN/A
165.227.166[.]238N/ADigitalOcean, LLCN/AN/A
165.227.211[.]222N/ADigitalOcean, LLCN/AN/A
167.172.199[.]165N/ADigitalOcean, LLCN/AN/A
167.172.248[.]70N/ADigitalOcean, LLCN/AN/A
167.172.253[.]162N/ADigitalOcean, LLCN/AN/A
168.197.250[.]14N/AOmar Anselmo Ripoll (TDC NET)N/AN/A
169.57.156[.]166N/ASoftLayerN/AN/A
172.104.251[.]154N/AAkamai Connected CloudN/AN/A
172.105.226[.]75N/AAkamai Connected CloudN/AN/A
173.212.193[.]249N/AContabo GmbHN/AN/A
182.162.143[.]56N/AIRT-KRNIC-KRN/AN/A
183.111.227[.]137N/AKorea TelecomN/AN/A
185.4.135[.]165N/AENARTIA Single Member S.A.N/AN/A
185.148.168[.]15N/AAbuse-C RoleN/AN/A
185.148.168[.]220N/AAbuse-C RoleN/AN/A
185.168.130[.]138N/AGigaCloud NOCN/AN/A
185.184.25[.]78N/AMUV Bilisim ve Telekomunikasyon Hizmetleri Ltd. Sti.N/AN/A
185.244.166[.]137N/AJan Philipp Waldecker trading as LUMASERV SystemsN/AN/A
186.194.240[.]217N/ASEMPRE TELECOMUNICACOES LTDAN/AN/A
187.63.160[.]88N/ABITCOM PROVEDOR DE SERVICOS DE INTERNET LTDAN/AN/A
188.44.20[.]25N/ACompany for communications services A1 Makedonija DOOEL SkopjeN/AN/A
190.90.233[.]66N/AINTERNEXA Brasil Operadora de Telecomunicações S.AN/AN/A
191.252.103[.]16N/ALocaweb Serviços de Internet S/AN/AN/A
194.9.172[.]107N/AAbuse-C RoleN/AN/A
195.77.239[.]39N/ATELEFONICA DE ESPANA S.A.U.N/AN/A
195.154.146[.]35N/AScaleway Abuse, ORG-ONLI1-RIPEN/AN/A
196.218.30[.]83N/ATE Data Contact RoleN/AN/A
197.242.150[.]244N/AAfrihost (Pty) LtdN/AN/A
198.199.65[.]189N/ADigitalOcean, LLCN/AN/A
198.199.98[.]78N/ADigitalOcean, LLCN/AN/A
201.94.166[.]162N/AClaro NXT Telecomunicacoes LtdaN/AN/A
202.129.205[.]3N/ANIPA TECHNOLOGY CO., LTDN/AN/A
203.114.109[.]124N/AIRT-TOT-THN/AN/A
203.153.216[.]46N/AIswadi IswadiN/AN/A
206.189.28[.]199N/ADigitalOcean, LLCN/AN/A
207.148.81[.]119N/AThe Constant Company, LLCN/AN/A
207.180.241[.]186N/AContabo GmbHN/AN/A
209.97.163[.]214N/ADigitalOcean, LLCN/AN/A
209.126.98[.]206N/AGoDaddy.com, LLCN/AN/A
210.57.209[.]142N/AAndri TamtrijantoN/AN/A
212.24.98[.]99N/AInterneto vizijaN/AN/A
213.239.212[.]5N/AHetzner Online GmbHN/AN/A
213.241.20[.]155N/ANetia Telekom S.A. Contact RoleN/AN/A
217.182.143[.]207N/AOVH SASN/AN/A

MITRE ATT&CKの技術

この表は、エンタープライズに対する攻撃手法をまとめたMITRE ATT&CKフレームワークのバージョン12を使用して作成されています。

手法ID名前説明
偵察T1592.001標的ユーザーのホスト情報の収集:ハードウェア Emotetは、CPUブランドを示す文字列など、侵害したマシンのハードウェア情報を収集します。
T1592.004標的ユーザーのホスト情報を収集します。クライアントの構成 Emotetは、ipconfig /allやsysteminfoコマンドの出力など、クライアントのシステム構成に関する情報を収集します。
T1592.002標的ユーザーのホスト情報の収集:ソフトウェア Emotetは、実行中のプロセスのリストを抽出します。
T1589.001標的ユーザーのアイデンティティ情報の収集:認証情報 Emotetは、ブラウザやメールアプリケーションから認証情報を窃取するモジュールを展開します。
T1589.002標的ユーザーのアイデンティティ情報の収集:メールアドレス Emotetは、メールアプリケーションからメールアドレスを抽出するモジュールを展開します。

リソース開発

T1586.002アカウントの乗っ取り:メールアカウント Emotetは、メールアカウントを乗っ取り、マルスパムメールを拡散するために使用します。
T1584.005インフラストラクチャの乗っ取り:ボットネット Emotetは、ボットネットを構築するために、膨大な数のサードパーティーシステムを乗っ取ります。
T1587.001能力の開発マルウェア Emotetは、いくつもの独自のマルウェアモジュールとコンポーネントから構成されています。
T1588.002機能の取得:ツール Emotetは、感染したマシンから認証情報を窃取するためにNirSoftツールを使用します。

初期アクセス

T1566フィッシング Emotetは、悪意のあるファイルが添付されたフィッシングメールを送信します。
T1566.001フィッシング:スピアフィッシングの添付ファイル Emotetは、悪意のあるファイルが添付されたスピアフィッシングメールを送信します。

実行

T1059.005コマンドおよびスクリプトインタプリタ:Visual BasicEmotetは、悪意のあるVBAマクロを含むMicrosoft Word文書を使用していることが確認されています。
T1204.002ユーザーによる実行:悪意のあるファイル Emotetの攻撃が成功するには、悪意のあるメールの添付ファイルをユーザーに開かせて、埋め込まれているスクリプトを実行させる必要があります。

防衛機能の回避

T1140ファイルや情報の難読化解除と復号化 Emotetのモジュールは、API関数名を暗号化した文字列とマスクしたチェックサムを使用します。
T1027.002ファイルや情報の難読化:ソフトウェアのパッケージ Emotetは、独自のパッカーを使用してペイロードを保護します。
T1027.007ファイルや情報の難読化:動的なAPI解決 Emotetは、実行時にAPIコールを解決します。

認証情報へのアクセス

T1555.003パスワードの保管場所からの認証情報の窃取:Webブラウザからの認証情報の窃取 Emotetは、NirSoftのWebBrowserPassViewアプリケーションを悪用して、Webブラウザに保存されている認証情報を取得します。
T1555パスワードの保管場所からの認証情報の窃取 Emotetは、NirSoftのMailPassViewアプリケーションを悪用し、メールアプリケーションからパスワードを窃取することができます。
収集T1114.001メールの収集:ローカルメールの収集 Emotetは、OutlookとThunderbirdアプリケーションからメールを窃取します。
C&C(コマンド&コントロール)T1071.003アプリケーションレイヤープロトコル:メールプロトコル Emotetは、SMTP経由で悪意のあるメールを送信することができます。
T1573.002暗号化されたチャンネル:非対称暗号方式 Emotetは、楕円曲線ディフィー・ヘルマン鍵を使用してC&Cトラフィックを暗号化します。
T1573.001暗号化されたチャンネル:対称暗号方式 Emotetは、AESを使用して、C&Cトラフィックを暗号化します。
T1571非標準ポート Emotetは、7080のような非標準ポートで通信します。