Emotetボットネットが復活

最大規模のボットネットの1つが、2021年初頭に行われた国際法執行活動で中断され、シャットダウンされました。1年以上経った今、同じボットネットが再び生命の兆しを見せており、一部のボットネットは成長しているようです。それが休眠状態にあるときの新しい角と棘。問題のボットネットは、悪名高いEmotetボットネットワークです。これは、さまざまな悪意のある目的で使用される侵害されたデバイスのWebです。

Emotetとは何ですか？

ボットネットは、侵害されたデバイスまたは「ボット」を制御する当事者によって、多くの悪意のあるタスクに使用される可能性があります。 Emotetの場合、ネットワークはマルウェアを拡散するために使用され、ボットはサービスとしてのランサムウェアモデルと同様に他の悪意のある第三者に貸し出され、侵害されたデバイスインフラストラクチャへのアクセスのみを販売していました。

現在、セキュリティ会社Proofpointの調査チームは、「少量のEmotetアクティビティ」を特定し、 Emotetボットネットの通常の運用方法とは「大幅に」異なると説明しています。

Emotetは現在、電子メールキャンペーンを使用して配布されています。研究者によると、悪意のあるメッセージの発信元の電子メールアドレスは、Emotetスパムモジュールを使用して受信者にプッシュするために使用されなかったため、侵害されているようです。

新しい悪意のある電子メールキャンペーンがEmotetを広める

電子メールの構造は単純で、「給与」などの1語の件名文字列です。これは、被害者の注意を引き付け、ユーザーに電子メールに含まれているものをクリックしてもらうためのシンプルですが効果的なトリックです。この場合、電子メールにはOneDriveへのリンクが1つだけ含まれています。

OneDriveリンクは、zipアーカイブに配置されたMSExcelXLLファイルを指します。アーカイブファイルとそれに含まれるExcelドキュメントはすべて、メールの件名と同じように名前が付けられています。 Proofpointが提供する例では、アーカイブの名前は「Salary_new.zip」で、その中のExcelファイルは「Salary_and_bonuses-04.01.2022.xll」です。

ユーザーがExcelファイルを抽出して開こうとすると、Emotetはドロップされてデプロイされます。

キャンペーンの量が少ないという性質を考えると、以前Emotetが使用していた通常の大量の攻撃的なスパムアプローチとは対照的に、研究者はマルウェアオペレーターが新しいアプローチと手法をテストし、自動検出を回避する新しい方法をテストしていると信じています。