TOPセキュリティ > Emotet、大規模な攻撃の休止中に新たな手法をテストか

セキュリティ

Emotet、大規模な攻撃の休止中に新たな手法をテストか

2022/04/28

Michael Hill CSO

 米セキュリティー企業Proofpointは4月26日、マルウエア「Emotet」の攻撃に関して、これまでと異なる新たな手法を確認したとするブログ記事を公開した。通常の大規模な攻撃キャンペーンが下火となっていた2022年4月4~19日の期間に、別の手法を使った小規模な攻撃が見られたという。今後の攻撃キャンペーンで新たな手法を導入するためのテストを行ったか、大規模なキャンペーンと並行して限定的な攻撃を行うようになったかのどちらかと同社はみている。

猛威を振るってきたEmotetに新たな動き

Credit: Dimitris66 / Getty Images
Credit: Dimitris66 / Getty Images

 Emotetは世界中で猛威を振るうマルウエア。不正なメールの添付ファイルやURLをWindows上で開くことで感染する。ProofpointはEmotetの背後にあるサイバー攻撃集団をTA542と呼んでいる。国際的な警察機構の作戦により、Emotetの活動は21年1月にいったん止まったものの、21年11月に再開し、世界各地で再び感染が広がった。攻撃で配信されるメールの数は膨大で、1回のキャンペーンで100万通を超えることもある。

 Proofpointによると、今回確認した新たな手法では配信メールの数が少なかった。送信元のメールアカウントを不正に利用したものとみられ、Emotetのスパムモジュールからの送信ではなかった。メールの件名は「Salary(給与)」のような単語1つで、本文にはOneDriveのURLだけが記されていた。

 リンク先のOneDriveにはZIPファイルが置かれており、その中にはMicrosoft Excelのアドインファイル(XLLファイル)が4つ入っていた。ZIPファイルは「Salary_new.zip」、XLLファイルは「Salary_and_bonuses-04.01.2022.xll」のように、いずれも件名と同様にユーザーの興味を引く名前で、XLLファイル自体は4つとも同じものだった。このXLLファイルを開くとEmotetがダウンロードされ、ボットネットEpoch4のもとで動作を始める。

↑ページ先頭へ