Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

活動再開「Emotet」、1000社以上で観測 - 発見遅らせる機能強化も

またCofenseによると、ソーシャルエンジニアリングや技術的な対策など、感染被害の発見を遅らせる複数の手法が実装されていた。

「Emotet」の感染に用いられるメールの添付ファイルは、マクロを含むWordファイルを悪用しており、メールの受信者に対しては、「ドキュメントが保護されている」などとだまし、マクロを有効化させるソーシャルエンジニアリングがこれまでも用いられてきた。

従来はこうした要求に応じてマクロを有効化してしまった際に、受信者が期待する内容が表示されないため、動作の異常に気がつく可能性もあった。しかし、今回の攻撃ではマクロの有効後、エラーの発生を装う「偽ダイアログボックス」の表示機能をあらたに用意。ファイルの中身を表示されない不自然さを、偽のエラーでごまかすカモフラージュにより、発見を遅らせようとしていた。

また「Emotet」本体にも改良が加えられている。従来は単独で動作する「.exe」ファイルだったが、Windowsの正規ファイルより読み込むライブラリファイルとして展開されるようになった。

くわえてコマンド&コントロールサーバとの通信も、従来の平文からバイナリデータに変更。プログラムが分析された場合も、通信先の情報などを取得されないよう手を加えていたという。

(Security NEXT - 2020/12/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

ランサムウェア感染組織の平均被害金額は2386万円 - JNSA調査
2Qのセキュ相談、前四半期比約12%増 - 「偽警告」過去最多
ZyxelのNAS製品にゼロデイ脆弱性 - 悪用コードが闇市場に
J-CSIP、脅威情報22件を共有 - 海外関連会社への攻撃報告も
ゴールデンウィークに向けてセキュリティ体制の再確認を
1Qのセキュ相談、前四半期比1割増 - 「偽警告」が大きく増加
暗号資産取引所を狙うサイバー攻撃、「OneNoteファイル」を悪用
「EmoCheck v2.4.0」がリリース - 進化した「Emotet」に対応
従業員PCが「Emotet」感染、情報流出の可能性 - 古河電池
「Emotet」に新手口、OneNote形式を悪用 - 拡張子「.one」に警戒を