新しいEMOTETボットネットに対する防御

マルウェア追跡非営利組織Abuse.chは、新しいEmotetボットネットで使用されるC&Cサーバーのリストをリリースし、ネットワーク管理者が関連するIPアドレスをブロックすることを提案しています。ネットワーク管理者は、関連するすべてのIPアドレスをブロックして 、デバイスが新しいEmotetボットネットにアクセスされないようにすることをお勧めします。

ご参考までに、フォロワーから情報をいただきました。feodotracker.abuse.chは自動取り込みに適したリストが公開されており（プレーンテキストやjson）Aggressive版csvとRecommendedを併用しているそうです。なお、前者を低プライオリティ、後者を高プライオリティとしています。CSV版にはMalware種別等リッチな情報も書かれており、検知後の判断の助けになるそうです。

NPO団体「abuse.ch」とは
私たちの使命
abuse.chは、スイスのベルン応用科学大学（BFH）にあるサイバーセキュリティ＆エンジニアリングICE研究所の研究プロジェクトです。当初は、インターネットのためにサイバー犯罪に立ち向かおうとするスイス人男性の個人的な取り組みがベースになっていました。現在では、インフラ費用や給与の支払いを寄付でまかなっています。
プロジェクトの主な目標は、マルウェアとボットネットに重点を置いたサイバー脅威の特定と追跡です。非営利のプロジェクトであるため、実用的なオープンソースの脅威情報を公開するだけでなく、ITセキュリティ研究者や専門家が関連する脅威情報をコミュニティと共有できるようなプラットフォームの開発・運用も行っています。
現在、abuse.chのデータは、すでに多くの商用およびオープンソースのセキュリティ製品に統合されています。セキュリティソフトウェアやサービスのベンダーは、私たちのデータを利用して、顧客の保護に努めています。また、組織、インターネットサービスプロバイダ（ISP）、法執行機関、政府機関は、自分たちの構成員を標的としたサイバー脅威と戦うために、abuse.chのデータを利用しています。

新たなEMOTETボットネット

2021/11/16 Cryptolaemus1より3周年のツイートが送られてきました。

This is our 3rd anniversary of Cryptolaemus1. Thanks for all the follows and sharing of intel these past 3 years! To celebrate, Ivan has released a new version of Emotet because he feels left out and wants to be part of the party. More details coming soon. As always watch URLHaus pic.twitter.com/Qwvel32ibB

— Cryptolaemus (@Cryptolaemus1) November 15, 2021

こちらのツイートの意味するIvanがリリースした新型EMOTETのパーティーについてURLHausはこちらとなります。

IPA コンピュータウイルス届出

2021/11/16にIPA コンピュータウイルス届出窓口へ届出したところ、翌2021/11/17に Emotet 国内C&Cサーバリストに無事受理頂きました。

なおIPAアナウンス Emotetの攻撃活動再開の兆候が確認されたという情報があります。詳しくは「Emotetの攻撃活動再開について」を参照してください。

jpcertよりEmoCheckのご案内

停止していたマルウェアEmotetの感染を狙った活動が再開していることを観測しています。
現在見られている検体はEmoCheckで検知できることを確認していますので、ご活用ください。^KKhttps://t.co/mduesthaWO pic.twitter.com/m68qOPHMvE

— Analysis Center (@jpcert_ac) November 17, 2021

EmoCheck V2.1.0

JPCERTより、最近アップデートされたEmotetを検知するための、新しい機能を追加したEmoCheck v2.1をリリースしました。最新バージョンをご利用ください。
https://github.com/JPCERTCC/EmoCheck/releases/tag/v2.1.0

EmoCheck V2.1.1

JPCERTより、EmoCheck v2.1を管理者権限で実行した際に、正しくチェックできないバグ（プロンプトが一瞬だけ表示されて、ログファイルが作成されない）が修正されました。EmoCheck v2.1が正しく動作していなかった方は、、最新バージョンをお試しください。
https://github.com/JPCERTCC/EmoCheck/releases/tag/v2.1.1

EmoCheck V2.2

Emotetの2022年4月に更新されたサポートが追加されました。

https://github.com/JPCERTCC/EmoCheck/releases/tag/v2.2.0

EmoCheck V2.3

Emotetの2022年5月に更新されたサポートが追加されました。

https://github.com/JPCERTCC/EmoCheck/releases/tag/v2.3.0

EmoCheck V2.3.1

検出パターンが修正されました。

https://github.com/JPCERTCC/EmoCheck/releases/tag/v2.3.1

Emotetマルスパムデータベース

EMOTET感染を狙ったメールについて Emotetマルスパムデータベースでメールアドレスから検索できるサービスです。

We have updated the DB of #haveibeenemotet with the new #Emotet malspam activity.
New updates will come in the next days.https://t.co/gSk0CuhKBK@ValeryMarchive @58_158_177_102 @sugimu_sec @bomccss @AgidCert

— TG Soft (@VirITeXplorer) November 22, 2021

EMOTETの変異

警察庁がEMOTETを解析したところ、情報の窃取対象となるメールソフトの種類が拡大していることが判明しました

EMOTETの誤検知について

Microsoft Defender for Endpointは現在、Emotetマルウェアペイロードをバンドルしている可能性があるとしてファイルに誤検知のタグを付けているため、Officeドキュメントのオープンと一部の実行可能ファイルの起動をブロックしています。

“Microsoft Defender scares admins with Emotet false positives” By Sergiu Gatlan

誤検知の対策方法

Microsoft Defender for Endpoint での誤検出/検出漏れに対処する

Cobalt Strike Beacon ローダー

Emotetに感染した端末がCobalt Strikeをインストールし、リモートドメインに接続しようとしたことが観測された模様です。Cobalt Strikeはより広範なネットワークやドメインを評価し、ランサムウェアなどのさらなる感染に適した端末を探すことが可能です。

🚨🚨WARNING 🚨🚨 We have confirmed that #Emotet is dropping CS Beacons on E5 Bots and we have observed the following as of 10:00EST/15:00UTC. The following beacon was dropped: https://t.co/imJDQTGqxV Note the traffic to lartmana[.]com. This is an active CS Teams Server. 1/x

— Cryptolaemus (@Cryptolaemus1) December 7, 2021

攻撃者は目的達成や検知回避のために機能を追加または削除するカスタムビルドを作成することもできます。たとえばAPT29 は正規のトラフィックに紛れ込ませたり、分析を回避したりするために、カスタムの Cobalt Strike Beacon ローダーを頻繁に使用しています。

Cobalt Strike: 国家を後ろ盾とする APT からサイバー犯罪者までが愛用する攻撃ツール

EMOTET対策方法

EMOTETが巧妙化しており、人による判断が限界に近づいていると感じます。
JPCERTによれば、”添付ファイルの実行や文中のURLクリックかをしない”事が挙げられております。つまり、添付ファイルの共有手段をメール以外に持っておく事が対策の一つとなります。

例えば 企業間でコラボレーションツールを利用するには、Microsoft 365のTeamsや box.com 、NRI クリプト便、 NTTCom Bizストレージ ファイルシェア、wamnet Japan GigaCCなど自社で必要なコンプライアンス認証を取得している事を確認の上、導入を検討することをおすすめ致します。

• Microsoft コンプライアンス
• box セキュリティとコンプライアンス
• クリプト便 ISO/IEC 27017認証、ISO/IEC 27018認証
• Bizストレージファイルシェア ASPICクラウドサービスの安全・信頼性に係る情報開示認定制度
• GigaCC ISMSクラウドセキュリティ認証

参考事例

日本ユニシス Box による新しいワークスタイルの推進

PPAP代替ソリューション

またメールセキュリティも兼ねたPPAP代替ソリューションの導入もご検討下さい。

• NEC ActSecureクラウドメールセキュリティサービス
  メール送信時は従来と同様の操作を行うだけでActSecureがポリシーに従った暗号化を自動で行います。受信時はブラウザでActSecureにアクセスすることにより暗号化されたメールを復号します。
• 日立ソリューションズ 活文 メールゲートウェイ
  社外あてのメールの添付ファイルを自動的に分離して、活文サーバーからのWebダウンロードに切り替えます。受信者にはメール本文と添付ファイルのダウンロード用URLが通知され、保護された通信(https)で添付ファイルを安全に受け取ることができるため、情報漏洩を防ぐことが可能です。
• 富士通 FENCEメール誤送信対策サービス
  受信者によって暗号化形式を設定し、それぞれの暗号化形式の特徴に合わせた使い分けを行うことで、情報の流出リスクをより抑えることができます。復号パスワードは送信先と取り決めた固定パスワードを設定し、自動適用させることもできます。別途パスワードを知らせる必要がなく、いわゆる「脱PPAP」を実現できます。
• CTC メール連係ファイル転送システム eTransporter
  eTransporter のメール連係機能を利用することにより、メールの添付ファイルを自動で分離。これまでと変わらずに、使い慣れたメールにファイル添付して送信できる利便性を保ちつつ、脱PPAP対応と合わせて、大容量ファイルを「簡単」・「安全」に送信するセキュアなファイル転送システムをメールで実現します。

EMOTET E5 Update

2022/3/11

Epoch 5ボットネット上のいくつかのボットが、SystemBCモジュールをドロップしたことが確認されています。これは、Emotet が戻って以来、Cobalt Strike を超えて初めて確認されたドロップです。

#Emotet E5 Update – Within the last several hours, we have seen some bots on the Epoch 5 botnet begin to drop SystemBC now as a module and execute it. This is the first drop beyond Cobalt Strike that we have seen since Emotet returned. This is a significant change 1/x

— Cryptolaemus (@Cryptolaemus1) March 10, 2022

なお、SystemBC は、通信を隠蔽するためのネットワークプロキシとして、またリモート管理ツール (RAT) として機能し、Windows コマンドの実行、スクリプト、悪意のある実行ファイル、ダイナミックリンクライブラリ (DLL) の配信・実行が可能です。別のマルウェアにドロップされた SystemBC は、攻撃者に永続的なバックドアを提供します。

2022/4/6

Emotet C2 の変更およびEmotet dll のアップデートがEpoch5で検出されました。

Emotet C2 change was detected on Epoch5

— Cryptolaemus (@Cryptolaemus1) April 5, 2022

EMOTET E4 Update

2022/4/19

2022/04/18 14:00 UTC – Epoch 4 の Emotet は全てのローダーとステアモジュール、proclistモジュールが32bitから64bitに切り替わりました。これによりE4でローダーの検出数が60%以上減少しました。ご注意下さい。

https://twitter.com/Cryptolaemus1/status/1516261512372965383

2022/4/23

2022/4/22 19:39 UTC – Epoch 4 の Emotet はzip形式のWindows shorcut（.LNK）を送信しました。 LNKは私のラボやオンラインサンドボックスでは機能しませんでした。しかし、ショートカットには、.vbsファイルにコピーしたスクリプトが含まれています。これは正常に実行されました。

2022-04-22 (Friday) – #Emotet #epoch4 malspam sent zipped Windows shorcut (.LNK). LNK didn't work in my lab or online sandboxes. But the shortcut contains script that I copied into a .vbs file, which ran fine. LNK: https://t.co/zfiDZytclb VBS: https://t.co/PMKUrA7RIn pic.twitter.com/XiNbazHeY1

— Brad (@malware_traffic) April 22, 2022

なお、この新しい Emotet について、zip内のLNKファイルの最後にVBSを追加することで検出をバイパスしようとしています。 LNKを起動すると文字列が検出され残りの部分がVBSファイルにコピーされます。
対策としては、findstrでランダムな名前のVBSを探し、cmd.exeを呼び出し、次にwscript.exeを呼び出す実行イベントを監視する必要があります。
また.lnkファイルのメール添付禁止と、.vbsの実行をブロックすることも必要です。

#emotet Update – As of the last few hours Ivan is running some tests on E4 to try to bypass detection by appending a VBS at the end of an LNK file in a zip. The LNK when launched will find a string in itself and then copy the remainder from that string after to a VBS file. 1/x https://t.co/pEcOWdbfOa

— Cryptolaemus (@Cryptolaemus1) April 22, 2022

2022/4/26

2022/4/26 08:16 JST – Epoch 4 の Emotet はVBSに代わりPowershell.exeを直接呼び出してます。LNKはnullが埋め込まれOut-Nullにパイプされ実行中の処理が非表示になります。次にB64文字列をrandomnamed.PS1に変換し、PowerShellの-executionpolicyバイパスを使用して％tmp％から実行します。その後スクリプトを削除します。

#Emotet Update – Looks like Ivan has changed things again and @Max_Mal_ caught them. Now the LNKs are calling Powershell.exe directly in the normal location for a typical Windows install under system32. No more appended VBS appended to the end of the file. 1/x https://t.co/zLb83DKzSi

— Cryptolaemus (@Cryptolaemus1) April 26, 2022

これを軽減する方法は、PowerShellをランダムなLNKから呼び出すことを許可しないこと、およびLNKが実行ポリシーをバイパスされて実行することを防いで下さい。 なおLNKのnullを含むパディングも有効な検出方法です。

2023/1/17

2023/1/17 06:?? JST – 1月17日6時ごろ、Epoch 4 の更新があった模様です。

1月17日6時ごろ、Emotet Epoch4の本体DLLの更新がありました。
C2通信先の加除が発生しています。アクセス禁止の再点検を。https://t.co/MRbBJrFmQK

— abel (@abel1ma) January 16, 2023

2023/3/8

🚨Emotet Awakens🚨 3/7 21:00からE4がスパム送信を始め、500MB を超える非常に大きな Red Dawn テンプレートが入ってきています。現在ペイロード URL と７つのマクロウイルスなどスパム配信が確認されております。

Another Sample: https://t.co/tBU6vm2Z84
Payload URLs:
s://midcoastsupplies.com.au/configNQS/Es2oE4GEH7fbZ/?140151
p://mtp.evotek.vn/wp-content/L/?140152
p://www.189dom.com/xue80/C0aJr5tfI5Pvi8m/?140152
s://esentai-gourmet.kz/404/EDt0f/?140152 2/3

— Cryptolaemus (@Cryptolaemus1) March 7, 2023

EMOTET back in Distro Mode

Emotet 拡散開始 – 11/2 17:00からE4がスパム送信を始め、18:30からE5が再びスパム送信を開始しました。直接添付されたXLSファイルや、zipやパスワードで保護されたXLSに注意を。

🚨Emotet back in Distro Mode🚨 – As of 0800 UTC E4 began spamming and as of 0930 UTC E5 began spamming again. Looks like Ivan is in need of some cash again so he went back to work. Be on the lookout for direct attached XLS files and zipped and password protected XLS. 1/x

— Cryptolaemus (@Cryptolaemus1) November 2, 2022

ニュース

2021年11月19日 株式会社ラック【注意喚起】マルウェアEmotetが10カ月ぶりに活動再開、日本も攻撃対象に

2021年11月22日 ITmedia NEWS 活動再開 日本も標的に LACが注意喚起

2022年2月4日 IPA Emotetに関する相談が増加中！

【Emotetに関する相談が増加中！】
昨日から、「取引先からのメールだと思って添付ファイルを開いてしまった。ウイルスだったようで、その後自社をかたるメールが送信されている。」という相談が増加しています。
添付ファイルやURLリンクを開かないように注意してください！https://t.co/IDwCTAn6FW pic.twitter.com/66AzFBm4bW

— IPA（情報セキュリティ安心相談窓口） (@IPA_anshin) February 4, 2022

【Emotet攻撃メールにご注意！】
2月から #Emotet の攻撃活動が急増しています。Emotetに感染すると端末のメール情報が盗まれ、メール本文やメールアドレスを転用した攻撃メールがばらまかれます。IPAでは攻撃メールの一例を公開していますので、ぜひご覧ください。https://t.co/23xC7cUeXC pic.twitter.com/yX0oCvQ1SJ

— IPA（情報処理推進機構） (@IPAjp) February 9, 2022

2022年2月15日更新 JPCERTマルウェアEmotetの感染再拡大に関する注意喚起

2022年3月3日更新 JPCERTマルウェアEmotetの感染再拡大に関する注意喚起

2922年3月8日更新 JPCERTマルウェアEmotetの感染再拡大に関する注意喚起

2022年3月9日更新 IPA 感染被害の大幅拡大/日本語で書かれた新たな攻撃メール

【Emotet攻撃メールにご注意！】
3/4ごろから日本語で書かれた新たな #Emotet の攻撃メールが確認されています。請求書に関する指示が書かれており、添付ファイルの「コンテンツの有効化」ボタンをクリックするとウイルスに感染します。https://t.co/Ny8vo6keGA
続く→ pic.twitter.com/x2RgTGUx7v

— IPA（情報処理推進機構） (@IPAjp) March 9, 2022

2022年4月26日更新 IPAショートカットファイルを悪用した攻撃（2022年4月26日 追記）

【Emotet攻撃メールにご注意！】
4/25ごろからショートカットファイルを悪用して #Emotet へ感染させる手口を確認しています。ショートカットファイルを開くと感染するため、不審なショートカットファイルは開かないようにご注意ください。https://t.co/u1FGMSjz9A pic.twitter.com/LEgn8hocqx

— IPA（情報処理推進機構） (@IPAjp) April 27, 2022