デジタルアーツ、復活したEmotetの1か月を追ったセキュリティレポートを公開
- 2022/02/04 10:00
- SecurityInsight
デジタルアーツは2月2日、復活したEmotetについてのセキュリティレポートを公開することを発表した。レポートでは、2021年11月15日頃の復活からの1か月で確認された、Emotetのさまざまな感染手法について紹介している。
1.マクロを含むOfficeファイル
Emotetの活動再開直後、多く取られた感染手法としては、メールへのOfficeファイルの添付だった。この時に多く見られた拡張子は「.docm」と「.xlsm」。特徴は、変数名やプロシージャ名に対してランダムな文字列が用いられていることや、複数回に分けて文字列を処理し、難読化を解除し実行していることがある。難読化については不要な文字列を挿入してあるだけで比較的シンプル。しかし、これによりexecやstartなどといった実行を示す文字列を見つけにくくなり、セキュリティ機能の回避を狙っているものとみられる。
2.メールに書かれるクッションページのURL
送られてきたメールに添付ファイルがないケースも多く見受けられた。その場合、メールにURLが記載されており、アクセスするよう書かれている。実際にアクセスすると、マクロを含むWordファイルやExcelファイルがダウンロードできるリンクがある。このURLをクッションページと呼び、その多くは、WordPressなどの脆弱性を用い、改ざんされたWebサイトからできていた。
ファイルの閲覧にはプレビューボタンを押す必要があるようにも見受けられ、クリックするとまた別の改ざんサイトへアクセスし、マクロを含むOfficeファイルをダウンロードする。いずれも改ざんサイトであるため、サイト管理者の対応状況によっては数日間やそれ以上アクセス・ダウンロード可能な状態が続いているケースがあるのも特徴。
3.新たな感染手法:アプリインストーラーの利用
12月上旬には、アプリインストーラーを用いた新たな感染手法も現れた。アプリインストーラーは本来、拡張子「.appinstaller」であるAPPINSTALLERファイルを読み込むことで、アプリケーションのインストールを開始する。Emotetでの感染活動でも、このファイルが前述のクッションページから配布された。アイコンは正常なものと同じであり、この時点で見分けることは難しいと考えられる。