threat-research

世界で猛威を振るうマルウェアの1つであるEmotetの脅威を詳細に解説する新しいレポートを発表

Adversary Playbook:FortiGuard SEチームは、Cyber Threat Alliance(CTA)の参加メンバーとしての重要な役割の1つを果たすため、「Emotet」と呼ばれる犯罪集団に関するこの新しいプレイブックを公開します。CTAメンバーによって作成される「Adversary Playbook(攻撃者プレイブック)」の詳細については、「Cyber Threat Alliance Playbook Whitepaper(Cyber Threat Allianceプレイブックホワイトペーパー:英文)」を参照してください。また、MITREのATT&CK(Adversarial Tactics, Techniques & Common Knowledge)モデルに関するFortiGuard Playbook Viewerの解説も参照してください(英文)。

Emotet

Emotet(エモテット)は、金融データの不正取得を目的とする「単純な」トロイの木馬として、2014年に発見されました。単純だったという言い方をしたのは、時間の経過と共にボットネットへと進化しただけでなく、モジュール化によって、後にワームに似た機能を使ってマルウェアを拡散する能力などが加わったためです。米国国土安全保障省が、このマルウェアを「州や地方の政府(SLTT:State, Local, Tribal, and Territorial)、民間企業、公的機関に最も大きな金銭的損害を与え、破壊力も大きいマルウェアの1つ」と指摘したのはそのためです(英文)。

Emotetは今も非常に活発な活動を続けており、その毎日の活動には、この広範囲に拡大する脅威の影響を受けた組織のみならず、Emotetの作成者によってこのマルウェアに追加された最新の攻撃方法を解明しようと考える世界中の研究者も注目しています。この最新のプレイブックでは、FortiGuard Labsが数週間前に確認した、Emotetのある大規模攻撃を中心に解説します。この記事はEmotetをあらゆる角度から分析するものではなく、またそれは時間的な制約によっておそらく不可能でもありますが、このプレイブックをお読みいただくことで、注目に値するこのマルウェアの攻撃の一端を垣間見ることができるはずです。


Emotetの歴史

Emotetは、当時はトレンドマイクロに在籍し、現在はFortiGuard Labsの一員であるJoie Salvioが2014年に発表した文書(英文)に初めて登場しました。その感染ベクトルは単純なもので、スパムなどのソーシャルエンジニアリングを使って送り込まれ、マルウェアのダウンロードリンクをクリックさせるというものでした。ダウンロードされたファイルには2つのペイロードが含まれていて、1つは定義済の構成ファイルで、そこには金融機関のリストが含まれていました。もう1つは、さまざまなプロセスにインジェクションできるDLLファイルで、これはアウトバウンドネットワークトラフィックを傍受し、Webブラウザ内に詳細情報を収集するためのものでした。

初期段階のEmotetには、標的デバイスのレジストリを破損する手法が採用されていましたが、この手法はその後も検知を回避する方法として継続的に利用され、外部に持ち出されるデータはいずれも暗号化されてレジストリに保存されます。これは、検知を逃れる非常に効果的な方法であるだけでなく、IOC(Indicators of Compromise:侵害指標)を見つけることが困難であるために、攻撃者が標的のマシンで長期間にわたって活動を続けることができる方法でもあります。

Emotetは、広範囲かつ破壊的な攻撃によって数年にわたってニュースを賑わしてきた、金融機関を標的にするマルウェアのグループに属し、密接ではないものの、Bugat、Feodo、Geodo、Heodo、Cridex、Dridexといったマルウェアファミリーと関連性があります。過去数年にわたり、EmotetはAZORult、IcedID、ZeuS Panda、TrickBotを拡散していることも確認されています。また、複数のマルウェアファミリーを同時に拡散できることも、アンチウイルス業界、法執行機関、研究者がEmotetに重大な関心を寄せている理由の1つです。

マルウェア攻撃を長期にわたって成功させるには、マルウェアの作成者が基盤となるコードや攻撃ベクトルを継続的に更新し、検知や減災を逃れる必要があります。おそらくは、これを専業にする人物が存在していると考えられています。Emotetの背後にいる犯罪者の内状を示す証拠は何もないものの、これらの攻撃が専任の開発者とプロジェクトリーダーのチームによって遂行されているもので、一種のビジネスとして大きな成功を収めているのは確かであり、唯一異なるのは、違法な犯罪組織によるビジネスだということだけです。膨大な数の攻撃が発生し、今回の攻撃が広範囲に広がるものであったことを考えれば、この犯罪集団が極めて統制の取れた犯罪組織によって運営されていることを認めざるを得ません。また、この背後にいる開発者やリーダーがかつては情報セキュリティ分野の専門家であった可能性もあり、自らの能力を維持し高めるために、不正行為で利益を得ている犯罪組織の支援を受けている可能性もあります。


技術的な詳細

Emotetのこの最新の亜種は、自動化されたソーシャルエンジニアリング手法、主に電子メールを使って拡散します。複数のベンダーからすでに報告されているように、Emotetは正規の電子メールを乗っ取ってフィッシングメールをスレッドに挿入することで、受信者にとって信頼できるものであるかのように見せかけます。メールのスレッドの話題が突然変わるのは珍しいことはなく、例えばEmotetは支払いが完了していない請求書についての新しい通知といった件名を変更することで気を引こうとします。

これらの電子メールのいずれかの本文に含まれているZIP添付ファイルには、感染したWord文書(SHA-256: c58f07f84d6aae485416683e5515b39bc39349e69bc14629440e693da23d6c4d)とPowerShellをコールする不正マクロが含まれています。Base64でエンコードされたそのPowerShellコマンドは、以下のいずれかの場所にあるペイロードをダウンロードします。

hxxp://www[.]eteensblog[.]com/2tgmnk/fJZIPCYV/
hxxp://www[.]palisek[.]cz/wp-includes/YtgJbWQNtJ/
hxxp://www[.]mnminfrasolutions[.]com/wp-admin/zeteXeJYC/
hxxp://abbasargon[.]com/wp-admin/sqhztj4_dzq3e-019802155/
hxxps://weiqing7[.]com/ex6/3r2js_ocgr3bew87-538460/

このペイロードは、ダウンロード後に「%CSIDL_PROFILE%\897.exe」(SHA-256: 1d51d8e9ae1d67cb804fb28024b04969fd5888c3befece09547e5506ee946027)という名前で保存されます。この例は、この記事の執筆時現在でかなり新しい、世界標準時の2019年10月4日(金)17時25分3秒にコンパイルされたばかりのEmotetサンプルから取得したものです。このファイルの宛先は、以下のURIです。

hxxp://172.105.11.15:8080/img/window/
hxxp://91.121.116.137:443/child/
hxxp://80.79.23.144:443/site/between/add/merge

Emotetは、オペレーショナルセキュリティも実践し、カスタムREQUESTヘッダーを使用します。

Referrer: hxxp://[IP address of C2 SERVER]/[dir1]/[dir2]/...
DNT: 1

DNT(Do Not Track)は、HTTPのヘッダーフィールドとして提案された、インターネットユーザーがユーザーデータを収集するWebサイト(ユーザーのWebサイトへの過去のアクセスやアクティビティなど)による追跡をオプトアウトできるようにするためのものです。Emotetでこのフィールドが使われている理由は不明で、攻撃者がC2サーバーへのアクティビティや接続を隠そうとしているのではないかと推測されますが、断定はできません。

次にこのファイルは、以下の別の場所に自らをコピーします。

%CSIDL_PROFILE%\AppData\Local\msptermsizes\msptermsizes.exe
%CSIDL_SYSTEM%\hanskds.exe

その後、以下に詳細を示す、「hanskds」という名前のサービスを作成します。

name: hanskds
display name: hanskds
startup type: automatic
description: Indexes the contents and properties of files on local and remote computers; provides rapid access to files through flexible querying language.

最近見つかった別のEmotetファイル(SHA256: 9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E)も挙動は似ており、コンパイルのタイムスタンプは世界標準時の2019年10月4日(金)18時21分32秒で、最初のEmotetファイルのわずか1時間後です。

他のファイルが検知されてしまった場合のフェイルセーフとして2つの別のファイルを使用することは、攻撃者にとって理にかなったことであり、そうすることで感染ルーチンの試行機会が増えることになります。

前述のC2サーバーの他に、以下がコールされる場合もあります。

hxxp://190.108.228.48:990/symbols/free/img/merge/
hxxp://172.105.11.15:8080/child/enabled
hxxp://91.121.116.137:443/taskbar/glitch/add/
hxxp://80.79.23.144:443/chunk/child/add
hxxp://138.201.140.110:8080/site/img/add/merge/
hxxp://95.128.43.213:8080/xian/nsip/add/merge/
hxxp://190.228.72.244:53/stubs/sess/add/merge/
hxxp://185.94.252.13:443/usbccid/prep/add/merge/
hxxp://37.157.194.134:443/forced/
hxxp://45.79.188.67:8080/guids/attrib

最後にはTrickbotをダウンロードするEmotet攻撃、[SHA256: 7c06d1f53ccc14d4548b595f7c9afddf07be9c7a799e7a55a671cdf95e27bdca]も確認され、このタイムスタンプも世界標準時の2019年10月4日(金)4時40分28秒という新しいものであったことから、新しい攻撃であることを示唆しています。


世界的な拡大

今回のEmotet攻撃の範囲

今回のEmotet攻撃の範囲

我々が確認したいくつかの関連する攻撃のIPアドレスの場所に注目すると、今回の攻撃でのEmotetの範囲が世界中に広がるものであり、特定の地域だけを標的しているわけではないことがわかります。その根拠となるのが、上図と以下に示す、Emotetのバックエンドを構成する具体的なIPアドレスから得られたデータです。以下のセクションでは、これらの最新の攻撃のコマンド&コントロールの部分に注目し、さらに詳しい実用的なインテリジェンスを提供していきます。


37.157.194.134(チェコ共和国)

次のIPアドレス「37.157.194.134」は、SHA256 [9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E]に関連付けられており、チェコ共和国にあるサーバーにコールバックします。

このIPアドレスには最小限の履歴情報しかなく、つまりフォーティネットのテレメトリやその他のOSINTデータによれば、このIPアドレスが使われた前例が確認されていないということです。OSINT検索を実行してみると、さまざまなEmotetトラッカーがこのIPアドレスをブラックリストに登録していることがわかります。

訪問数が5位までの国


以下のグラフは、確認されたアクティビティと我々が確認した最近の実行を相関付けて、時系列で示したものです。


45.79.188.67(米国)

次のIPアドレス「45.79.188.67」は、SHA256 [9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E]に関連付けられており、米国ニュージャージー州ニューアークにあるサーバーにコールバックします。

このIPアドレスには最小限の履歴情報しかなく、つまりフォーティネットのテレメトリやその他のOSINTデータによれば、このIPアドレスが使われた前例が確認されていないということです。OSINT検索を実行してみると、さまざまなEmotetトラッカーがこのIPアドレスをブラックリストに登録していることがわかります。

訪問数が5位までの国


もう1つの興味深い観察結果は、6か月前である5月にもアクティビティの急増が検知されていたことです。


80.79.23.144(チェコ共和国)

次のIPアドレス「80.79.23.144」は、SHA256 [9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E]に関連付けられており、チェコ共和国のプラハにあるサーバーにコールバックします。

このIPアドレスの履歴情報を見ると、このIPアドレスが2014年のマルウェアファミリー、SalityとVirutに関連するものであることがわかります。OSINT検索を実行してみると、さまざまなEmotetトラッカーがこのIPアドレスをブラックリストに登録していることがわかります。

訪問数が5位までの国


以下のグラフは、確認されたアクティビティと我々が確認した最近の実行を相関付けて、時系列で示したものです。


85.54.169.141(スペイン)

次のIPアドレス「85.54.169.141」は、SHA256 [DD8B16641395CD00AC9E03B93B02F61F51A79D7DF70B736D567A9C11175E4C55]に関連付けられており、スペインのマドリードにあるサーバーにコールバックします。

このIPアドレスには最小限の履歴情報しかなく、つまりフォーティネットのテレメトリやその他のOSINTデータによれば、このIPアドレスが使われた前例が確認されていないということです。OSINT検索を実行してみると、さまざまなEmotetトラッカーがこのIPアドレスをブラックリストに登録していることがわかります。

訪問数が5位までの国


以下のグラフは、確認されたアクティビティと我々が確認した最近の実行を相関付けて、時系列で示したものです。


95.128.43.213(フランス)

次のIPアドレス「95.128.43.213」は、SHA256 [DD8B16641395CD00AC9E03B93B02F61F51A79D7DF70B736D567A9C11175E4C55]に関連付けられており、フランスにあるサーバーにコールバックします。

このIPアドレスには最小限の履歴情報しかなく、つまりフォーティネットのテレメトリやその他のOSINTデータによれば、このIPアドレスが使われた前例が確認されていないということです。OSINT検索を実行してみると、さまざまなEmotetトラッカーがこのIPアドレスをブラックリストに登録していることがわかります。

訪問数が5位までの国


このIPアドレスのアクティビティが、この12か月間、特に4月に非常に活発であったこと、さらにはこの数週間でアクティビティが急増したことがわかりました。


138.201.140.110(ドイツ)

次のIPアドレス「138.201.140.110」は、SHA256 [DD8B16641395CD00AC9E03B93B02F61F51A79D7DF70B736D567A9C11175E4C55]に関連付けられており、ドイツにあるサーバーにコールバックします。

このIPアドレスには最小限の履歴情報しかなく、つまり、フォーティネットのテレメトリやその他のOSINTデータによれば、このIPアドレスが使われた前例が確認されていないということです。OSINT検索を実行してみると、さまざまなEmotetトラッカーがこのIPアドレスをブラックリストに登録していることがわかります。

訪問数が5位までの国


このIPアドレスのアクティビティが、この12か月間に非常に活発であったことがわかります。


172.105.11.15(米国)

次のIPアドレス、「172.105.11.15」は、SHA256[c58f07f84d6aae485416683e5515b39bc39349e69bc14629440e693da23d6c4d、 1D51D8E9AE1D67CB804FB28024B04969FD5888C3BEFECE09547E5506EE946027、 9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E、DD8B16641395CD00AC9E03B93B02F61F51A79D7DF70B736D567A9C11175E4C55]に関連付けられており、これも米国ニュージャージー州にあるサーバーにバックアップします。

このIPアドレスには最小限の履歴情報しかなく、つまりフォーティネットのテレメトリやその他のOSINTデータによれば、このIPアドレスが使われた前例が確認されていないということです。OSINT検索を実行してみると、さまざまなEmotetトラッカーがこのIPアドレスをブラックリストに登録していることがわかります。興味深いことに、このIPアドレスは、同じく米国ニュージャージー州にある前述の「45.79.188.67」と同じISPを使ってホスティングされています。

訪問数が5位までの国


以下のグラフは、確認されたアクティビティと我々が確認した最近の実行を相関付けて、時系列で示したものです。


190.108.228.48(アルゼンチン)

次のIPアドレス「190.108.228.48」は、SHA256 [9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E]に関連付けられており、アルゼンチンにあるサーバーにコールバックします。

このIPアドレスには最小限の履歴情報しかなく、つまりフォーティネットのテレメトリやその他のOSINTデータによれば、このIPアドレスが使われた前例が確認されていないということです。OSINT検索を実行してみると、さまざまなEmotetトラッカーがこのIPアドレスをブラックリストに登録していることがわかります。

訪問数が5位までの国


以下のグラフは、確認されたアクティビティと我々が確認した最近の実行を相関付けて、時系列で示したものです。


91.121.116.137(フランス)

次のIPアドレス「91.121.116.137」は、SHA256サンプル

[9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E、 c58f07f84d6aae485416683e5515b39bc39349e69bc14629440e693da23d6c4d、 1D51D8E9AE1D67CB804FB28024B04969FD5888C3BEFECE09547E5506EE946027、 DD8B16641395CD00AC9E03B93B02F61F51A79D7DF70B736D567A9C11175E4C55]に関連付けられており、フランスにあるサーバーにコールバックします

このIPアドレスには最小限の履歴情報しかなく、つまりフォーティネットのテレメトリやその他のOSINTデータによれば、このIPアドレスが使われた前例が確認されていないということです。

OSINT検索を実行してみると、さまざまなEmotetトラッカーがこのIPアドレスをブラックリストに登録していることがわかります。興味深いことに、このIPアドレスは、同じくフランスにある前述の「91.121.116.134」と同じISPによってホスティングされています。

訪問数が5位までの国


以下のグラフは、確認されたアクティビティと我々が確認した最近の実行を相関付けて、時系列で示したものです。


190.228.72.244(アルゼンチン)

次のIPアドレス「190.228.72.244」は、SHA256サンプル[9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379EおよびDD8B16641395CD00AC9E03B93B02F61F51A79D7DF70B11]に関連付けられており、アルゼンチンにあるサーバーにコールバックします。

このIPアドレスには最小限の履歴情報しかなく、つまりフォーティネットのテレメトリやその他のOSINTデータによれば、このIPアドレスが使われた前例が確認されていないということです。OSINT検索を実行してみると、さまざまなEmotetトラッカーがこのIPアドレスをブラックリストに登録していることがわかります。

訪問数が5位までの国


以下のグラフは、確認されたアクティビティと我々が確認した最近の実行を相関付けて、時系列で示したものです。


終わりに

以上の解説は、今回の世界規模で拡大した攻撃から得られたサンプルの分析とインフラストラクチャの調査によって明らかになった情報に基づくものであり、Emotetのほんの一部が解明されたに過ぎません。我々が確認した今回の攻撃は、基本的には世界中の12か所を若干超える数のコマンド&コントロールサーバーを利用するものでした。膨大な数のサンプルが存在し、世界中でEmotetを追跡している研究者や組織によって毎日のようにネットワークIOCが発見されていることを考えれば、Emotetがこの時代で最も影響力のあるマルウェア攻撃の1つであることは間違いありません。当初は金融機関を標的にする「単純な」トロイの木馬であったものが、我々の最近の記憶の中で最も危険で複雑なボットネットの1つへと発展しただけでなく、常に進化を遂げてきたことで、その高い能力を維持してきました。

フォーティネットは、今回の攻撃で確認されたすべてのサンプル(16)について、以下のアンチウィルスシグネチャで検知することが出来ます。

悪意あるWord文書

VBA/Agent.3862!tr.dldr
VBA/Agent.NVE!tr
VBA/Agent.F3D4!tr.dldr

Emotet

W32/GenKryptik.DUMV!tr
W32/Packed.FVW!tr
Malicious_Behavior.SB
W32/Kryptik.GXIK!tr
W32/GenKryptik.DVLJ!tr

Trickbot

W32/Kryptik.GWZG!tr

いずれのネットワークIOCも、FortiGuard Webフィルタリング用クライアントのブラックリストにも登録されています。


参考文献

第一線で脅威の検知、防止、レスポンスに携わる方、さらにはEmotetの世界中での活動の追跡に興味を持たれている方向けに、以下のようにEmotetに関する有用な情報リソースをご紹介します。これらのサイトは、Emotetに関する研究や観察をこれから始めようとする方にとっても、そのインフラストラクチャに関する膨大な量のデータを理解する上で役立ちます。

Cryptolaemus(英文): このチームは、Emotetの追跡を第一線で進めている多くの著名なセキュリティ専門家で構成されており、このサイトでは極めて有用なIOCが無料で公開されています。また、Emotetに関心のある一般ユーザー向けに、毎日検知される膨大な数のEmotetのIOCに関する実用的なインテリジェンスを提供しています。

fdeodotracker.abuse.ch: Feodo Trackerは、Feodoマルウェアファミリー(Dridex、Emotet/Heodoを含む)に関連するボットネットC&Cサーバーの情報共有を目的とする、abuse.chのプロジェクトです。さまざまなブロックリストを提供することで、DridexおよびEmotet/Heodoからユーザーを保護するネットワーク所有者を支援しています。Trickbot関連の情報も提供されています。

MITER ATT&CKフレームワークの仕様に従って分析し、マッピングしたIOC(Indicators of Compromise:侵害指標)などの、我々が調査で使用したサンプルの詳細については、Playbook ViewerのEmotetに関するこちらの情報を参照してください(英文)。

注:MITER ATT&CK™は、実環境における観測に基づくサイバー犯罪の戦術と手法を紹介する、グローバルにアクセス可能なナレッジベースです。ATT&CKナレッジベースは、民間企業、政府機関、およびサイバーセキュリティの製品やサービスのコミュニティにおいて、具体的な脅威モデルや方法論を開発する際の情報基盤として利用されています。


FortiGuard LabsおよびFortiGuardセキュリティサービスのポートフォリオの詳細については、こちらをご覧ください。FortiGuard Labsは、脅威インテリジェンスブリーフ(英文)を毎週お届けしています。ぜひご購読ください。

セキュリティ監査とベストプラクティスを提供するFortiGuard セキュリティレーティングサービスについては、こちらをご参照ください。