Emotetマルウェア

Emotet（別名HeodoおよびGeodo）は、2014年に初めて発見されたポリモーフィックファーストステージのイニシャルアクセスマルウェアのモジュラーファミリーです。数多くのユニークで回避的な亜種を持つことから、世界で最も危険なマルウェアの1つと考えられています。Emotetはバンキング型トロイの木馬として始まりましたが、2017年以降、その機能は主に、Conti、Ryuk、Trickbot、Qakbotといったトップクラスの第2ステージのマルウェアやランサムウェアを配布するための初期アクセス型トロイの木馬として機能することに限定されています。

Emotetは、TA542（別名、Mummy SpiderおよびMealyBug）として知られるイニシャル・アクセス・ブローカー（IAB）グループに帰属し、非常に成功したマルウェア・アズ・ア・サービス（MaaS）犯罪企業を運営しています。2015年以前は、Emotetはダークネットのフォーラムで公に販売されていましたが、現在はTA542の親密な関連会社のみが個人的に利用できるようになっています。Emotetの入手を制限することで、Emotetをより戦略的に展開できるようになり、セキュリティ研究者が最新バージョンを分析して対策を開発することが難しくなります。

2021年は、Emotetにとって特に事件が多い年だった。2021年1月、EUROPOLとFBIを含む国際的な合同捜査がEmotetボットネットの運営者を取り締まりましたが、ウクライナの警察は2人の容疑者の逮捕のみを発表しました。しかし、ウクライナの警察は、2人の容疑者の逮捕を発表するにとどまりました。この合同捜査チームはまた、マルウェア自体のアンインストールを指示するアップデートをプッシュすることで、Emotetのゾンビボットネット被害者の感染を解除するソリューションを展開しました。しかし、2021年11月までに、Emotetは新たな亜種と手法で再び出現し、ボットネットをすぐに完全な機能に戻しました。

第一段階のマルウェアとして、Emotet はフィッシングやマルスパムキャンペーンを通じて配布され、期限切れの請求書、小包配送通知、COVID-19 アラート、バンキングテーマなど、さまざまなソーシャルエンジニアリングの文脈を利用して被害者を誘惑し、兵器化された電子メールの添付ファイルや URL にリンクされたペイロードを実行させます。EmotetのペイロードはMicrosoft Office文書に埋め込まれることが多いですが、EmotetはPDFファイル、実行可能ファイル、スクリプト、圧縮されたZIPアーカイブ、その他の新しい攻撃ベクトルにも含まれています。

Emotetのペイロードは、セキュリティ研究者の一歩先を行くために、ほぼすべての既知のエクスプロイトと多くの未公開の「ゼロデイ」エクスプロイトを使用することが知られています。一度インストールされると、Emotet はパスワードを総当たりで解読し、すべての主要なブラウザと電子メールクライアントからユーザー認証情報を盗み出し、持続性を維持することができます。Emotetはまた、ローカルネットワーク内でのワームのような横移動機能と、新しいモジュールをインポートできる自己更新機能を備えている。検出を回避するため、Emotet はランダムに生成されたファイル名を使用し、定期的に .exe 実行ファイルの場所と名前を変更します。また、感染したシステムが再起動されたときに自動的に起動するように、関連する Windows Autorun レジストリキーを変更します。

エモテットの最も効果的なテクニックには、以下のようなものがある：

• 盗まれた情報を分析し、ソーシャル・エンジニアリングのコンテキストを開発する 
• トロイの木馬に感染した電子メールアカウントの既存の会話に、トロイの木馬に感染した添付ファイル付きのメッセージを追加する。
• 第一段階のペイロードをホストするためにハッキングされたウェブサイトを使用することで、既知の悪意のあるURLをブロックするセキュリティ製品からの検出を回避する。 
• ブロックされるのを避けるため、被害者のマイクロソフト・アカウントを使ってOneDriveのリンク経由で拡散する。
• 大手企業のブランドイメージを模倣し、偽の請求書や配送情報、偽の求人情報を配信する。
• 強制的な「セクストーション」マルスパムで被害者から金銭を脅し取ろうとする行為
• SMBサービスの脆弱性を介して拡散するために盗まれた認証情報を使用する。
• 64ビットのシェルコードとPowerShellを使用して、セカンドステージのペイロードを実行し、インストールする。

Emotet 攻撃を防止する取り組みは、ソーシャル・エンジニアリングやフィッシング攻撃に対する ユーザーの意識を高めることで支援することができる。しかし、エンドポイントセキュリティ製品のインストール、設定、および定期的なアップデートを行い、リリース後できるだけ早く組織の IT 環境全体のすべてのオペレーティングシステム、サービス、およびアプリケーションをアップデートすることも重要です。BlackBerry™ Cyber Suite製品は継続的にアップデートされ、最新バージョンのEmotetトロイの木馬からお客様の環境を保護します。

Emotetの攻撃を防ぐための最も効果的な戦略を紹介します：

• 社外から送信された電子メールをユーザーに通知するよう、電子メールクライアントを設定する。
• フィッシング・テクニックについて担当者を教育するためのユーザー意識向上トレーニングを検討し、不審な電子メールや文書を取り扱うための標準作業手順書（SOP）を作成する。
• 暗号化されたファイルがもたらすリスクの増大を認識し、そのような文書を開く前に、その文脈を十分に確認する。
• コンテンツ・プロキシを使ってインターネット利用を監視し、不審なサイトや危険なサイトへのアクセスを制限する。
• デジタル署名された正規ソフトウェアのみがすべてのエンドポイントにインストールされていることを確認し、定期的にスキャンを行い、不正なソフトウェアの実行をブロックする。
• Officeアプリケーションが、「通知なしですべてのマクロを無効にする 」または「デジタル署名されたマクロ以外を無効にする 」設定で構成されていることを確認する。
• 電子メールクライアントやOfficeアプリケーションで、マルウェアのスキャンが行われていないファイルやVBAマクロを含むファイルなど、不審なコンテキストを警告する警告通知に特に注意してください。
• 暗号化された文書を暗号化解除後すぐにスキャンするエンドポイントセキュリティ製品のインストールと設定
• 重要なシステムを優先して、可能な限りゼロ・トラスト・ソリューションを導入する。