死から蘇った、2022年のエモテット
Emotetマルウェアは、2014年にバンキング型トロイの木馬として地味に活動を開始しました。Emotetの背後にいる脅威のアクターは、Malware-as-a-Service(MaaS)を提供する最初の犯罪集団の1つとされています。彼らはMaaSを利用して、感染したシステムの大規模なボットネットを作成し、第三者へのアクセスを販売することに成功しました。このスキームは非常に効果的であることを証明し、すぐにRyukやContiランサムウェアギャングなどの犯罪集団に利用されるようになったのです。Emotet は、情報窃盗型トロイの木馬で有名な Trickbot や、同じく銀行型トロイの木馬で有名な Qakbot とも協力した経緯があります。
マルウェア「Emotet」、パンデミック中に、フィッシングで被害者を獲得
Emotetグループは、パンデミックの期間中、活動を活発化させました。彼らは、2019年から2020年にかけて、話題のトピックを利用して、無防備な被害者に悪意のあるフィッシングメールを開かせるという方法で、混乱を引き起こしました。件名やメールの中身には、コロナウイルス情報、政治ニュース、論争の的となる問題、マスク義務に関する州や連邦政府の最新情報などが含まれていました。
2021年1月、欧州警察機構(Europol)、オランダ、米国を中心とする8カ国の合同タスクフォースがEmotetボットネットのインフラを破壊し、Emotetは一度息絶えたように見えました。
Emotetマルウェアが死から蘇った?新たなEmotetの亜種が出現
数百万ドルのインセンティブを持つランサムウェアの一団が、長く活動を停止していることはありません。過去に何度も見てきたように、ランサムウェアのギャング、または最低でもそのソースコードは、完全に消滅することはありません。
歴史的に、閉鎖または解散したギャングのメンバーは、他の犯罪組織に集まる傾向があります。ランサムウェアの集団は、根っからの犯罪者であり、その唯一の目的は金儲けです。Emotetグループも同様です。最初の報告によると、Emotetは2021年の第4四半期に再登場し、2022年の2月と3月に日本の企業を標的とした大規模なフィッシング・キャンペーンが報告されて、波紋を広げはじめました。現在、4月と5月に新しい地域を標的とした新たな大規模な悪質フィッシングキャンペーンが複数確認されています。
興味深いことに、TrickBotの一団は、長年のパートナーであるEmotetグループが新しいEmotetの亜種をダウンロードするために、すでに感染させているボットマシンを使って展開の手助けをしていることが確認されています。2021年の第4四半期と比較して、2022年の第1四半期にはEmotetの検知数が2700%も急上昇していることが明らかになっています。
Emotet 2022: 新たな手口と脅威
2022年のEmotetからの新たな脅威を見ると、2021年第4四半期に観測されたものと比較して、Microsoft Excelマクロの使用が約900%増加していることがわかります。日本の被害者を襲った攻撃は、乗っ取った電子メールのスレッドを使用し、そのアカウントを起動ポイントとして使用して被害者を騙し、悪意のあるオフィス文書を添付してマクロを有効にするものです。この「新しく改良された」Emotetの厄介な行動の1つは、盗まれたクレデンシャルを収集・利用し、さらに感染を広げてマルウェアを配布するために活用していることです。
2022年のEmotetの再来に関する主な調査結果
Deep Instinctの主要な脅威インテルチームやHPのWolf Securityなどの脅威リサーチチームは、以下の主要な知見を確認しています。
- 9%の脅威が未知の、これまでに見たことのない脅威である
- 14%の電子メールマルウェアは、捕捉される前に少なくとも1つの電子メールゲートウェイセキュリティスキャナーを回避している
- 検知されたマルウェアの45%は、添付されたオフィスファイルを利用していた
- マルウェアの配信に使用された最も一般的な添付ファイルは、スプレッドシート(33%)、実行ファイルとスクリプト(29%)、アーカイブ(22%)、ドキュメント(11%)
- Emotetは、64bitのシェルコードや、より高度なPowerShellやアクティブスクリプトを利用するようになった
- 全悪意あるサンプルのほぼ20%が、2017年のマイクロソフトの脆弱性(CVE-2017-11882)を悪用していた
Emotetマルウェアに対抗するためのDeep Instinctのソリューション
Emotet は再登場して勢力を拡大していますが、過去に悪用されたのと同じ攻撃ベクトルの多くを依然として利用しています。問題は、これらの攻撃がより巧妙になり、この種の攻撃を検知し、フィルタリングするための今日の標準的なセキュリティ・ツールを回避していることです。
しかし、ここで皆さんが待ち望んでいたニュースがあります。ここDeep Instinctには、この種の攻撃を予測し、予防してきた長い歴史があります。最新の攻撃ベクトルの中には、これまでにない新しい脅威もありますが、Deep Instinctは、Emotetやその他の高度な脅威グループからの最新の攻撃でさえ、その脅威が開発されて野放し状態になる数ヶ月(場合によっては数年)前に開発・展開された技術で防止してきた実績があります。
Deep Instinctは、世界初の専用に構築されたディープラーニングのサイバーセキュリティフレームワークを使用して、ランサムウェアやその他のマルウェアを阻止する予防第一のアプローチを取っています。既知、未知、ゼロデイ脅威を20ミリ秒未満で予測・防止し、ランサムウェアが暗号化できる最速の750倍もの速さで脅威を実行前に予防します。
詳細については、お問い合わせまたはデモをリクエストしてください。