新しいEMOTETボットネットに対する防御

マルウェア追跡非営利組織Abuse.chは、新しいEmotetボットネットで使用されるC&Cサーバーのリストをリリースし、ネットワーク管理者が関連するIPアドレスをブロックすることを強く提案しています。ネットワーク管理者は、関連するすべてのIPアドレスをブロックして 、デバイスが新しく改革されたEmotetボットネットに採用されないようにすることを強くお勧めします。

Browse Botnet C&Cs
出典:abuse.ch Feodo Tracker

・・・
2021/11/16 Cryptolaemus1より3周年のツイートが送られてきました。

こちらのツイートの意味するIvanがリリースした新型EMOTETのパーティーについてURLHausはこちらとなります。

出典:abuse.ch URLHaus

なおIPAアナウンス Emotetの攻撃活動再開の兆候が確認されたという情報があります。詳しくは「Emotetの攻撃活動再開について」を参照してください。

Emotetへの感染を狙う攻撃メールの例
出典:独立行政法人情報処理推進機構 セキュリティセンター

2021/11/16にIPA コンピュータウイルス届出窓口へ届出したところ、翌2021/11/17に Emotet 国内C&Cサーバリストに無事受理頂きました。

ご参考までに、Twitterから情報をいただきました。feodotracker.abuse.chは自動取り込みに適したリストが公開されており(プレーンテキストやjson)Aggressive版csvとRecommendedを併用しているそうです。なお、前者を低プライオリティ、後者を高プライオリティとしています。CSV版にはMalware種別等リッチな情報も書かれており、検知後の判断の助けになるそうです。

jpcertより、EmoCheckのご案内ご活用ください。

EMOTET感染を狙ったメールについて Emotetマルスパムデータベースでメールアドレスから検索できるサービスです。

2021年11月19日 株式会社ラック【注意喚起】マルウェアEmotetが10カ月ぶりに活動再開、日本も攻撃対象に

2021年11月22日 ITmedia NEWS 活動再開 日本も標的に LACが注意喚起

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 サイバーセキュリティコンサルタント、IPAセキュリティプレゼンター、OWASPメンバー、2020年度総務省事業 テレワークセキュリティ専門家 I キャリア(個人事業主 PG→SE→PL→PM→ システムコンサルティング事業部 部長)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター