"Emotet’s Return: What’s Different?" December 9, 2021 by PATRICK SCHLÄPFER (HP社マルウェアアナリスト）より 2021年11月15日、Emotetはほぼ10か月の休止期間を経て復帰して、現在、大規模な悪意のあるスパムキャンペーンで再び拡散しています。 Emotetの背後にあるマルウェア配布活動は、法執行機関によって2021年1月に中断され、活動は劇的に減少しました。 ただし、この落ち着きは一時的なものであったことが証明されており、Emotetの復帰は、ボットネットとその行為者らの回復力を示しています。 このマルウェアの復活の中で配布されている新たなバイナリで何が変更されたか疑問が生じます。この記事ではこれについて簡単に説明します。 2021年11月にHP WOLF SECURITYで隔離したマルウェア配布 11月、HPWolfSecurityの一部であるHPSureClick Enterpriseは、企業や組織に対する大規模なEmotet配布活動で配布されたマルウェアを隔離しました。 図1は、...

Reawakening of Emotet: An Analysis of its JavaScript Downloader by Ratnesh Pandey, 2019年9月14日より EMOTETは進化しています。 2019年9月に活発化した配信活動での検体では、JavaScriptをダウンロードさせて実行させていました。 今回は、以前のバージョンよりも大幅に難読化されたEmotetの刷新されたJavaScriptダウンローダーを分析してみます。 2019年9月中旬のEmotetの配信活動の再開をうけ、Alex Hollandさんの前回のブログ投稿では、その動作の変更点を精査しました。 注目すべき変化の1つは、悪意のあるMicrosoft Wordダウンローダーの一部が、侵害の初期段階でJavaScriptをダウンロードさせて実行させていることです。 Emotetによってアーカイブ（.zip）ファイル内に仕込まれたJavaScriptダウンローダーを使用することは目新しいことではありませんが、9月の配信活動からの検体は、ダウンローダーの処理内容に更新があっ...

2019年6月初旬にそれまでの配信活動がいったんなりをひそめたEMOTETが、同年9月に配信活動の再開が認識されました。● 活動休止前のサンプル群と新たなサンプル群とを比較するとEMOTETが機能面で複数の変更が加えられている事がわかりました。

● Emotetバンキング系トロイの木馬に関する投稿シリーズの第三弾です。 ● 前回までにEmotetが仕込まれるメカニズムとその振舞いについて、動的分析をしてきました。 ● Emotetから得られたホストとネットワークに関するデータから、それ自身をサービスとして登録することで権限を昇格させ、ファイルシステムの様々な場所に存続し、最後にドロッパーファイルを削除することがわかっています。

● Emotetは、指定されたタスクを実行するのに適切なディシジョンツリーベースのアルゴリズムを持った、高度にモジュール化されたバンキング狙いのトロイの木馬です。 ● 難読化されたペイロードを配信し、自己アップグレード可能なモジュールを介してその機能を拡張する能力から、Emotetは組織への標的型攻撃で一般的に使用されるペイロードランチャーになりました。 Emotetが複数の段階と、複数の経路での攻撃に使用されていることから悪名を上げています。

●もともとオンラインバンキング・マルウェアとして作成されたEmotetがBromiumユーザ企業で最も多く見つかっています。 ● PC上のBromiumが捉えているということは、その前段階の多層防御をすべてすり抜けてきたことを意味するため、警戒が必要です。 ●一般的なセキュリティ製品をすり抜けるために施された仕組みも含めて解説します。

● ネットバンキング詐欺ツールの一種、Emotetが仕組まれた検体群を分析し、比較してみました。 ● マルウェア作成者は、侵害目的のプログラムを個々の潜在的犠牲者ごとに、一意の実行ファイルに再パッケージにする手 口で、シグネチャ方式での検出を回避します。 ● 再パッケージされドロップされた実行ファイルは、それまで存在しなかったものです。このため、アプリケーションの隔離と制御が重要です。 唯一の安全なアプローチである、検出に頼らない保護が必要です。