ICYMI：Emotetが再び出現

• 脅威情報
• 2023.9.8

要旨

Emotetは2014年に初めて登場し、2021年初頭に法執行機関が駆除を試みたにもかかわらず、危険で回復力のあるマルウェアであり続けています。Europolによる大規模な駆除活動の後でも、Emotetは時を経ても容赦なく、今年、Microsoft WordとMicrosoft OneNoteにそれぞれマクロと埋め込みスクリプトを活用したepoch4とepoch5のバージョンで復活しました。

昨年の復活以来、TrellixはEmotetを監視し続け、新たな感染経路や活動および手法の変化を特定してきました。このブログでは、Emotetの世界的な流行状況、感染ベクター、新たなTTPを紹介し、このマルウェアから組織を守るための検知の機会について説明します。また、Trellix製品がどのようにこれらのTTPに対する防御を提供するかについても説明します。

序章

Emotet（GeodoおよびHeodoとしても知られる）は、よく知られたバンキング型トロイの木馬ですが、他のマルウェアのダウンローダー/ドロッパーとしても機能します。2021年1月、Emotetのインフラストラクチャーはダウンしましたが、同年11月までに復活し、2022年から2023年初頭にかけてその活動を拡大しました。Emotetは、Emotet脅威アクターが短期間に複数の異なる感染チェーン（悪意のあるマクロ/VBS/WSF、ZipBombing、LNKファイル、HTAファイル）を活用するため、危険で回復力のあるマルウェアであり続けています。

Emotetがわずかな休止期間を経て2023年3月に活動を再開したとき、最初の感染ベクターは、マクロで大きく水増しされたMicrosoft Wordドキュメントでした。その後すぐに、Microsoftによって強制されたポリシーに従っドて、WordキュメントからOneNoteセクションに移動しました。Emotetペイロードの最新バージョンでは、検出メカニズムを回避するための新たな配信ベクターなど、そのTTPに大きな変化が見られました

Emotet – 世界的な流行

図1は、Trellixの脅威インテリジェンスグループ(TIG)が継続的に追跡しているEmotetマルウェアの世界的な流行状況を示しています。

TIGによるインテリジェンスデータから、影響を受けた上位10カ国には、エストニア、タイ、グアテマラ、イスラエル、シンガポール、トルコ、イタリア、アラブ首長国連邦、ウクライナ、ポルトガルが含まれています。標的となっている上位5業種は、Eコマース、エネルギー/公益事業、金融サービス、政府、ヘルスケアが含まれます。

図1：Trellix InsightsにおけるEmotetマルウェアの世界的蔓延

感染経路: 電子メール

主な感染経路は、悪意のある電子メールキャンペーンとスレッドハイジャックされた電子メールであり、複数の亜種が存在します。Emotetは攻撃フローの一部として、スレッドハイジャック手法のような従来のフィッシング手法を頻繁に使用します。この手法は、以前にEmotetに感染したWindowsホストのメールクライアントから盗まれた正規の電子メールに基づいて偽の返信を生成します。ボットネットは、この盗まれた電子メールデータを使用して、元の送信者になりすました偽の返信を作成します。

次のセクションでは、「zip爆弾」、OneNoteの添付ファイル、暗号化された添付ファイルなど、被害者の間で広く蔓延する亜種について説明します。

バリエーション1：請求書をテーマにしたEメール

今回攻撃者は、乗っ取られた電子メールを使用する代わりに、件名フィールドに返信フォーマット（’RE:’）を追加し、添付ファイルとして悪意のあるZIPファイルを含めました。私たちは、Emotetを広める様々な請求書をテーマにした電子メールを見てきました。

ZIPファイルには500MBを超えるWordドキュメントが含まれています。ドキュメントは、ファイルサイズを大きくし、ウイルス対策ソリューションがマルウェアをスキャンして検出するのを難しくするために、00バイトでパディングされています。

図2: Emotetの電子メール（バリエーション：請求書テーマの電子メール）

バリエーション2: OneNoteをドロッパーとして使用する

この亜種は、請求書をテーマにしたメールと同じメール構造を使用しています。Microsoftはデフォルトでマクロをブロックしているため、攻撃者はOneNoteを使い始めました。OneNoteドキュメントには、ペイロードを取得するVBScript/JavaScriptが埋め込まれています。

図3: Emotet電子メール (バリアント: ドロッパーとしてのOneNote)

バリエーション3: 暗号化された悪意のある添付ファイル

この攻撃は、パスワードで保護された添付ファイルを特徴としています。パスワードで保護されたZIPファイルとOneNoteドキュメントの両方が確認されています。これは通常、AV検出を回避し、ファイルスキャン検出をバイパスするために行われます。

図4: Emotet電子メール (バリアント: 悪意のある添付ファイル)

私たちのチームは、このような様々な事例から最終的なペイロードを抽出し、ダウンロードしました。その後、ペイロードを安全に実行できるサンドボックス環境に転送し、動的解析に基づいてその悪質性を検出および検証しました。

MITREマッピング

このセクションでは、攻撃の流れの各フェーズをMITREのテクニックにマッピングしました。これは攻撃がどのように進行するかを理解するのに役立ちます。

表1: MITREマッピング

Emotet の解剖

次の数セクションでは、Emotet の各TTPと攻撃ベクトルについて詳しく説明します。Emotetスパムの活動が2023年3月に開始されると、電子メールの添付ファイルとして送信されるZipファイルに埋め込まれた悪意のあるドキュメントの配信を開始しました。このドキュメントは、ユーザーを騙してマクロを有効にさせるソーシャルエンジニアリングのテクニックを使用しています。初期の配布は、悪意のあるマクロを含むWordドキュメントを通じて行われました。

これらのWordドキュメントは、セキュリティ製品からの検出を回避するために、大きくパディングされていました。このバイナリーパディングのテクニックは、Emotetがファイルサイズを膨張させ、サンドボックスやスキャンエンジンなどのマルウェア対策ソリューションが課すサイズ制限を超えるようにするために使用されます。

最終的に、Emotetマルウェアの背後にいる攻撃者は、マクロを含むWordドキュメントから、スクリプトを埋め込んだOneNoteファイルに切り替えました。これは、Microsoftの新しいポリシーによって、インターネットからダウンロードしたドキュメントでのOfficeマクロの実行が無効化されたためと考えられます。

図5は、攻撃者がWordファイルとOneNoteファイルで使用して、マクロコンテンツを有効にするようユーザーを誘導するテンプレートを示しています。

図5：マクロを含むMicrosoft Office Wordドキュメント
図6：スクリプトが埋め込まれたOneNoteドキュメント

図6に見られるように、Wordドキュメントはマクロで構成されており、ユーザーは「コンテンツを有効にする」をクリックして、実行を明示的に承認する必要があります。同様にOneNoteのセクションでも、添付ファイルが開かれることを警告する場合、ユーザーは明示的な承認を与える必要があります。このように、これらのベクターはそれぞれ、攻撃を実行させるためにユーザーとの対話が必要であり、その結果、攻撃の有効性が制限されます。

攻撃の流れ

図7は、最近のEmotetマルウェア攻撃がキルチェーンを通過しながらどのように進行するかを示しています。

図7: Emotet攻撃フロー

フィッシング: スピアフィッシング添付ファイル (T1566.001)

上記の「感染経路」で見たように、最も一般的な感染経路は電子メールです。2023年3月初旬、Emotetの悪質なスパムキャンペーンが急増し、電子メールのスレッドをハイジャックする手法が活用されました。この手法は、感染したコンピュータの電子メールクライアントから盗み出した正規のメッセージを使用します。このセクションで説明した電子メールテンプレートに基づく複数のバリアントが存在します。

ユーザー実行: 悪意のあるファイル (T1204.002)

ユーザは電子メールから受信したZipファイルをダウンロードし、Word/OneNoteドキュメントを抽出して実行します。図5と6に示すように、テンプレートはユーザーを誘惑してマクロを有効にしようとします。このキャンペーンのWordドキュメントには悪意のあるVBAマクロが含まれており、実行されるとEmotetダウンローダーとして機能し、攻撃者が管理する配信サーバーからEmotetペイロードを取得してシステムに感染させ、Emotetに追加します。

次のセクションでは、WordドキュメントペイロードとOneNoteドキュメントペイロードの各攻撃ペイロードについて説明します。

Wordドキュメントのペイロード

2023年3月にEmotetの活動が始まったとき、初期のペイロードはすべてMicrosoft Officeドキュメントを標的にしていました。ドロッパードキュメントは、ヌル(0x00)バイトのパディング技法を使用してファイルサイズを膨らませます。また、マクロは高度に難読化されており、実行されると、攻撃者が管理する外部サーバーでホストされているEmotet DLLをフェッチします。

コマンドおよびスクリプトインタプリタ: Visual Basic (T1059.005)

Emotetの背後にいる攻撃者は、この悪意のあるWordドキュメント内にVBScriptを埋め込み、図5に示すように、ドキュメントを開いてコンテンツを有効にすると実行されます。

難読化されたファイルまたは情報 (T1027)

マクロは開発者モードを有効にすることで可視化できます。図8に示すように、内部のマクロは完全に難読化/暗号化されています。Microsoft Wordフォーマットに基づくEmotetのダウンローダーは、Emotet ローダーDLLをダウンロードするコードを実行するためにVBA AutoOpenマクロを使用します。

図8: ドキュメント内の難読化されたマクロ

イングレスツール転送 (T1105)

デバッガで復号化し出力を表示する関数を分析すると、図9に示すように、このマクロを復号化できます。Wordドキュメントが外部IPにアクセスし、追加のDLLをダウンロードし、それがregsvr32を介して実行されていることがわかります。作成/ドロップされるファイルには、「感染」時刻という名前が付けられています。

図9: regsvr32の接触ドメインと使用法を示すために復号化されたマクロ

図10は、マクロを使用してwinword.exeから作成/解凍されたファイルを示しています。ファイル名に感染時刻が使用されていることに注意してください。

図10: Wordドキュメントからのファイル作成

システムバイナリプロキシ実行： Regsvr32 (T1218.010)

Microsoft Wordドキュメントは、Regsvr32を生成し、DLLファイルである’.tmp’ファイルをドロップして実行することができます。実行後すぐに、このファイルは自分自身を「AppDataLocal」フォルダにコピーし、新しいregsvr32バイナリが生成され、このコピーされたDLLを実行します。

図11：DLLファイルの実行のためにRegsvr32を起動するWinWord

コピーされたDLLはEmotetコアDLLから作成され、内部名は「E.dll」です。

図12: EmotetコアDLL

このコアDLLは、複製されたされたDLLをAppData/Localディレクトリにドロップし、regsvr32バイナリで実行します。

図13: EmotetコアDLL

ブートまたはログオンの自動開始実行: レジストリ実行キー/スタートアップフォルダー (T1547.001)

次にregsvr32バイナリは、図14に示すように、レジストリの「実行キー」にエントリーを追加することで、永続性を作成します。

図14：Regsvr32バイナリによって作成されたレジストリ実行キー

システム情報の検出 (T1082)

regsvr32バイナリはまた、systeminfo.exeバイナリを起動し、システムネイティブの「systeminfo」コマンドを使用して、感染したWindowsシステムに関するすべての詳細を取得します。

図15：systeminfo.exeを起動し「systeminfo」コマンドを実行するRegsvr32

システムネットワーク構成の検出 (T1016)

regsvr32はまた、ipconfig.exeバイナリを起動し、システムネイティブのipconfig/allコマンドを使用して、感染したホストのネットワークアダプタの詳細を収集します。

図16：ipconfig.exeを起動し「ipconfig /all」コマンドを実行するRegsvr32

プロセス注入: プロセス空洞化 (T1055.012)

Emotetモジュールは、そのコードを注入するためcertutil.exeのコピーを使用します。図17は、Tempフォルダにcertutil.exeをドロップし、付与されたアクセスコード0x1FFFFでそれにアクセスする様子を示しています。CertUtil.exeはランダムな文字列で名前を変更され、ドロップされます。CertUtil バイナリのコピーとともに、収集された情報を保存するために使用される「.tmp」ファイルもドロップされます。プロセスが実行されるたびに、「.tmp」ファイルが添付されます。
図17: Regsvr32がcertutilを削除してロードし、メモリにインジェクションする

Webブラウザからの認証情報 (T1555.003)

Emotetは、CertUtilに注入される後続のアーティファクトにNirSoftのモジュールを使用しています。NirSoftはパスワード回復のためのフリーウェアユーティリティを提供しています。Emotetが認証情報へのアクセスのためにNirSoftツールを使用していることに気付いたのは、今回が初めてではありません。図18は、CertUtil.exeを介して実行される NirSoftバイナリコマンドとプロセス改ざんイベントの使用状況を示しています。

図18: プロセス改ざんイベントと CertUtil 経由で実行された NirSoft モジュールの使用状況

暗号化チャネル: 非対称暗号化 (T1573.002)

新しいEmotetモジュールはまた、非対称暗号化に楕円曲線暗号(ECC)を使用しており、暗号化にはオンボードの楕円曲線ディフィー・ヘルマン(ECDH-ECK1)公開キーを、データ/サーバー応答の検証にはオンボードの楕円曲線デジタル署名アルゴリズム(ECDSA-ECS1)公開キーを活用しています。これらの暗号鍵は、Emotetボットネットを識別するために使用されます。今回のEmotetはepoch Version4とepoch Version5を持っています。

図19: ECC暗号方式を利用するEmotet Core DLL

C2チャネル経由の漏洩 (T1041) / アプリケーション層プロトコル: Web プロトコル (T1071.001)

コアDLLが実行され、被害者への感染に成功すると、C2にアクセスします。そして、ハードコードされたC2リストから各IPにpingを送信します。図20では、regsvr32バイナリによって外部IPと接続され、ネットワークトラフィックにWINHTTP.dllの「WinHttpSendRequest」が使用されていることを示しています。

図20：regsvr32から開始されたEmotetネットワークトラフィック

多くのC2 IPはコアモジュールにハードコードされています。

Emotetペイロードのダウンロード

図22は、ユーザーエージェントを使用したHTTP ‘GET’リクエストによる、外部サーバーからのEmotetローダーDLLのダウンロードアクティビティを示しています： Mozilla/4.0 (互換性;Win32;WinHttp.WinHttpRequest.5)。

図22: Emotetペイロードのダウンロード

Emotet証明書

Emotetは、Emotetのインフラストラクチャへの自己署名SSL接続を使用します。典型的なEmotet SSL証明書を図23に示します。

図23: 典型的なEmotetインフラストラクチャ証明書

OneNoteドキュメントペイロード

初期のEmotetの操作ではMicrosoft Wordが使用されていたが、後にOneNoteファイルに焦点が移りました。これは、マイクロソフトのポリシーの施行によるものと考えられ、その結果、さまざまな攻撃者がマクロベースのエクスプロイトから離れることになりました。OneNoteエクスプロイトでEmotetが使用したペイロードには、複数の亜種がありました。以下にそのいくつかを紹介します。

ユーザー実行: 悪意のあるファイル (T1204.002)

WSF/VBSペイロード:

攻撃者は、リモートサーバーからEmotetバイナリーペイロードを取得して実行するようにスクリプト化されたWindowsスクリプトファイル（WSF）を活用しました。このスクリプトファイルは、下図のようにOneNoteドキュメント内の「表示」ボタンに挿入されます。

ユーザーが OneNote ページセクションの「表示」ボタンをクリックすると、「wscript.exe」を使用して「click.wsf」と呼ばれる .wsfファイル (Windows スクリプトファイル) をドロップして実行する隠しアクションがトリガーされます。

図24: 悪意のあるWSFが含まれるOneNoteセクション

コマンドおよびスクリプトインタプリタ: Visual Basic (T1059.005)

攻撃者は、WSFファイル内のVBScriptを利用してローダーDLLをダウンロードし、実行しました。

難読化されたファイルまたは情報 (T1027)

ドロップされたWSFファイルのコンテンツは難読化されています。以下の画像は、難読化されたコンテンツと復号化されたバージョンを示しています。

図25: 難読化されたWSFスクリプト

イングレスツール転送 (T1105)

上記のWSFファイルのコンテンツ(難読化されている)は、図26に示すように、「Execute」コマンドを「Echo」コマンドに置き換えて、wscriptが実行する代わりに出力を印刷することで、簡単に難読化を解除することができます。難読化解除されたコンテンツは、Emotetペイロードがwscript.exeによってダウンロードされるハードコードされたURLを示しています。

図26: デコードされたWSFスクリプト

WSFスクリプトを実行する際、wscript.exeは外部URLにコンタクトし、Emotetペイロードをダウンロードします。

図27: Emotetペイロードをダウンロードするwscript

システムバイナリプロキシの実行: Regsvr32 (T1218.010)

DLLをドロップすると、wscript.exeは、図28に示すように、ドロップされたDLLを実行するためにregsvr32.exeバイナリを起動します。

図28: ドロップされたDLL (radC44CD.tmp.dll) を実行するためにregsvr32を生成するwscript

regsvr32の実行後、残りの攻撃パターンはMicrosoft Wordを使ったものと同様です。

JSペイロード:

別のEmotetの亜種は、VBScriptではなくJavaScriptとしてOneNoteファイル内にオブジェクトを埋め込みました。他のすべてはそのままで、最初の感染スクリプトだけが変更されています。

図29: JSを含むOneNoteセクション

コマンドおよびスクリプトインタプリタ: JavaScript (T1059.007)

この場合、攻撃者は埋め込まれたJavaScriptを利用してローダーDLLをダウンロードし、実行しました。これについては以下で詳しく説明します。

難読化されたファイルまたは情報 (T1027)

ドロップされたJSファイルのコンテンツは難読化されています。図30は難読化されたコンテンツ、図31は復号化されたバージョンです。

図30: 難読化されたJavaScriptファイル

イングレスツール転送 (T1105)

このスクリプトは高度に難読化されており、任意のJavaScript難読化解除ツールを使って難読化を解除することができます。難読化解除されたコンテンツは、図31に見られるように、Emotetペイロードがwscript.exeを使用してダウンロードされ、後にregsvr32.exeによって「/s」フラグで実行されるハードコードされたURLを示しています。

図31: Wscript、Domains、Regsvr32 の実行を示すJavaScript の実行フロー

残りの実行フェーズは、「Word ドキュメントペイロード」のセクションで説明したWordドキュメントペイロードの場合と同様です。最近の復活に伴い、Emotetは、検出を回避して被害者への感染を成功させる可能性を最大化するために、非常に短いスパンで何度もTTPを変更しています。

結論

Emotetは2014年以来、何度も進化を繰り返し、2021年にはインフラが破壊されても生き残るなど、多産で回復力のある脅威です。Emotetの盛衰は、進化し続けるサイバー脅威の性質と、効果的に対抗するための統一戦線の必要性を痛感させるものです。このブログでは、Emotetの最初の感染経路、手口、感染による影響について詳しく説明してきました。

攻撃者は、被害者への感染を成功させる可能性を最大化するために、その戦術とテクニックを常に進化させています。今日のダイナミックな脅威の状況において、信頼できないファイルを開くことのリスクについてユーザや従業員を教育することは、この種のマルウェア感染の被害を防ぐのに役立ちます。常に情報を入手し、サイバーセキュリティを意識する文化を醸成し、強力なパートナーシップを築くことで、個人ユーザーも組織も感染リスクを大幅に軽減することができます。

検出の機会

Trellixでは、実際に存在する脅威も含め、企業ネットワークに対する新たな脅威からお客様を守ることに全力を注いでいます。Trellix SecOpsは高度な検知機能を構築し、脅威検知能力を向上させています。Trellixでは、社内のトラッカーがオープンソースとクローズドソースの両方から最新のサンプルを収集し、情報を充実させ、製品のイノベーションを推進しています。これにより、お客様の保護を確実なものにしています。以下のセクションでは、Trellix製品の対象範囲、Sigma の対象範囲、Snortルール、IOCを紹介しています。

Trellix製品の対象範囲

シグマの取材範囲

ルール 1:　
　　　　　　　

ルール 2:

SNORT ルール:

IOC