AIを駆使したサイバー攻撃:インテリジェントな脅威を検知、予防、防御する方法

今すぐ読む
サイト翻訳には人工知能を利用しており、正確性を追求しておりますが、必ずしも100%正確とは限りません。ご了承ください。
ホーム/ ブログ / Emotet-バンキング型トロイの木馬から最大のボットネットへ
マルウェア解析

Emotet-バンキング型トロイの木馬から最大のボットネットへ

By OPSWAT
この記事を共有する

著者イタイ・ボヒナー

概要

Emotetの名前は、特に広範なランサムウェア攻撃や高度なフィッシング・キャンペーンの文脈で、長い間注目されていなかったが、最近頻繁にニュースに登場している。これは、電子メールの添付ファイルやリンクを使用して一般的に配布される高度なトロイの木馬で、クリックされるとペイロードが起動します。Emotetは他のマルウェアのドロッパーとして機能しています。

Emotetが脅威行為者に利用される最大のボットネットになったのは、何が特別だからなのだろうか?

それを理解するために、私たちは最初から始めよう...。

エモテの説明

Emotetが最初に確認されたのは2014年で、ドイツとオーストリアの銀行の顧客がこのトロイの木馬の被害を受けた。このトロイの木馬は、機密情報や個人情報を盗む機能を持つ単純なトロイの木馬として開発されました。それが進化するにつれて、PCに感染した後、他のマルウェアをインストールするスパムやマルウェア配信サービス(ドロッパー)など、より多くの機能性を獲得しました。通常、以下のようなプログラムがドロップされます:

  • TrickBot - 銀行口座のログインデータへのアクセスを試みるバンキング型トロイの木馬。
  • Ryuk : データを暗号化し、コンピュータのユーザーがそのデータやシステム全体にアクセスできないようにするランサムウェア。

Emotetは、フィッシングメールの添付ファイルや、フィッシング添付ファイルを読み込むリンクを介して、ワームのような機能で拡散します。開かれた後、Emotet は管理者の認証情報を推測し、それを使用して SMB ファイル共有プロトコルを使用して共有ドライブにリモートで書き込みを行うことで、ネットワーク全体に拡散します。

US-CISAによると:

Emotetは、主にフィッシングメールの添付ファイルや、クリックするとペイロードが起動するリンクを介して拡散する高度なトロイの木馬です(フィッシング: スピアフィッシング添付ファイル[T1566.001]、フィッシング: スピアフィッシングリンク[T1566.002])。このマルウェアはその後、ユーザー認証情報を総当たりで推測し、共有ドライブに書き込むことで、ネットワーク内での拡散を試みます(Brute Force:パスワード推測[T1110.001]、有効なアカウント:ローカルアカウント[T1078.003]、リモートサービス:SMB/Windows 管理者共有[T1021.002])。

上記のことは、Emotetの特殊な回避技術と、ネットワーク内で自律的に横方向に拡散することを可能にする「ワームのような」特徴により、Emotetを防ぐことが難しい理由を強調している。

もう一つの大きな特徴は、EmotetがモジュラーDLL(ダイナミック・リンク・ライブラリ)を使用して、その機能を継続的に進化させ、更新していることです。

最近の活動

エモテットの使用が大幅に増加していることを示す報告が数多くある。


  • HP Inc.の最新データ(https://www.infosecurity-magazine.com/news/ransomware-alert-as-emotet/)によると、Emotetトロイの木馬を使用した攻撃の検出率は、今年第2四半期から第3四半期にかけて1200%以上急増し、ランサムウェア・キャンペーンの急増を裏付けている。
  • 2020年7月以降、CISAはEmotetに関連する指標に関わる活動が増加していることを確認している。この間、連邦政府、民間、行政府のネットワークを保護するCISAのEINSTEIN侵入検知システムは、Emotetの活動に関連する約16,000件のアラートを検知している。
    (https://us-cert.cisa.gov/ncas/alerts/aa20-280a)
  • マイクロソフト、イタリア、オランダは先月、Emotet悪質スパムの急増を警告したが、これはフランス、日本、ニュージーランドがEmotetに関する警告を発した数週間後のことであった。
    (https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/)
  • ここ数週間、Emotet Malspam
    (https://unit42.paloaltonetworks.com/emotet-thread-hijacking/) が大幅に増加しています。

この新しい波におけるEmotetの行動で非常にユニークなのは、Emotetのスパムキャンペーンの変化で、Office文書の代わりにパスワードで保護されたZIPファイルを利用するようになっている。

パスワードで保護されたファイルを使用することで、電子メールセキュリティゲートウェイはアーカイブを開いてコンテンツをスキャンすることができず、Emotetマルウェアの痕跡を見ることができないというものだ。

Palo Alto Networksはまた、Emotetが使用する「Thread Hijacking」と呼ばれる新しいテクニックも公表している。これは、感染したコンピュータの電子メールクライアントから盗まれた正規のメッセージを利用する電子メール攻撃手法です。このマルスパムは、正規のユーザーを偽装し、盗まれた電子メールへの返信を装います。スレッドハイジャックされたマルスパムは、元のメッセージのアドレスに送信されます。

OPSWAT は、Emotet による攻撃から組織を守るための予防的ソリューションを提供します。当社のソリューションは、Emotet がネットワークに侵入するのを防ぐのに役立ちます。

Email Gateway Securityフィッシング攻撃を阻止する

Secure アクセスはコンプライアンスの検証に役立つ

MetaDefender CoreDeep CDR (Content Disarm and Reconstruction )を使って 、ファイルアップロードのセキュリティ保護を提供します。

詳細については、今すぐお問い合わせください。

参考文献

https://us-cert.cisa.gov/ncas/alerts/aa20-280a

https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/

https://arstechnica.com/information-technology/2020/10/dhs-warns-that-emotet-malware-is-one-of-the-most-prevalent-threats-today/

最新の投稿

OPSWAT ニュースレター

OPSWAT 最新情報を、イベント情報とともにお届けします。 業界を牽引するニュースをお届けします。
サインアップする

ソーシャルメディアでフォローする

LinkedIn、Facebook、Twitter、YouTubeでOPSWAT !

OPSWATで最新情報をお届けします!

今すぐご登録ください、 ストーリー、イベント情報などをお届けします。
購読する