Emotetボットネットは活動再開の兆しを見せ始めました

2021/11/17 ブログ
logo

Cryptolaemus、GData、およびAdvanced Intelのサイバーセキュリティ研究者は、TrickBotマルウェアが感染したデバイスにEmotetのブートローダーをインストールするケースを特定しました。

以前、EmotetはTrickBotをインストールしていましたが、攻撃者はOperation Reacharoundと呼ばれる方法を使用して、既存のTrickBotインフラストラクチャを使用してEmotetボットネットを復元する事ができます。

 

◆Emotet解体したはずですが

今年の初めに、危険なボットネットEmotetのインフラストラクチャが、EuropolとEurojustによる共同捜査の一環として無効にされたことを思い出してください。

オランダ、ドイツ、米国、英国、フランス、リトアニア、カナダ、ウクライナの法執行機関の共同捜査のおかげで、専門家はボットネットのサーバーを制御し、インフラストラクチャ全体をシャットダウンし、悪意のある活動を阻止することができました。 

 

◆Emotetを検知できない

専門家は、Emotetボットネットがスパムを送信している兆候が検知されず、マルウェアをダウンロードする悪意のある文書も発見しませんでした。

スパムが検知されないのは、Emotetのインフラストラクチャがゼロから再構築されたことが原因である可能性があります。

 

◆攻撃者インフラバージョンアップされ復元

新しいEmotetブートローダーを分析した専門家によると、プログラムには以前のバージョンと比較し、変更が加えられている事を確認しました。

 

「これまでのところ、コマンドバッファが変更されたことを確認できます。 現在、3〜4ではなく7つのチームがあります。

これらはダウンロードされたバイナリの異なる実行オプションのようです(単なるdllではないため)」と専門家は述べています。

 

今年の4月、Emotetは、ヨーロッパの法執行当局による操作の結果、感染したコンピューターから削除されました。

国内の2つの中央マルウェアサーバーの制御を掌握したオランダの警察は、Emotetサイバー脅威を排除するためのソフトウェアアップデートを展開しました。

専門家によると、これは攻撃者がインフラストラクチャの復元の開始を阻止できませんでした。

 

◆Emotet対策

非営利のマルウェア追跡組織であるAbuse.chは、新しいEmotetボットネットで使用される246台のC&Cサーバーのリストを公開しており、ネットワーク管理者がこれらのIPアドレスをブロックすることを強くお勧めしています。