Emotet活動の検出:悪名高いマルウェアが再度出現し世界中のシステムを標的に
目次:
悪名高いEmotetが復活しました。ボットネットの指令・制御(C&C)サーバーが2021年初頭に国際合同捜査Operation Ladybirdによって妨害された後、Epoch 5での再興がありました。研究者によれば、それは時間の問題でした。 EmotetのC&Cインフラストラクチャ が復元され、再び全面的なサイバー攻撃キャンペーンを開始するまでの時間はそれほどかかりませんでした。そして、マルウェアの管理者が不明のままである中、このキャンペーンはウクライナ侵攻と疑わしく同時期に起こっています。
SOC Primeでは、Emotetなどの最新の活動をできるだけ早く捉えるために、検出コンテンツを継続的に更新しています。以下に最新の検出ルールと詳細な分析をご紹介します。
Emotet攻撃の検出
の最新の挙動を検出するために、私たちのThreat Bounty開発者 Emotetが作成したルールをチェックしてください。 Furkan Celik:
EmotetがMS Officeファイルで再び検出されました(3月)(レジストリエベント経由)
この検出には次のSIEM、EDR、XDRプラットフォームへの翻訳があります:Microsoft Sentinel, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio
FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch。
これらのルールは、最新のMITRE ATT&CK®フレームワークv.10に準拠しており、主な技術としてレジストリの変更(T1112)を伴う防御回避の戦術に対処します。
この検出には次のSIEM、EDR、XDRプラットフォームへの翻訳があります:Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache, Kafka ksqlDB, Securonix, AWS OpenSearch。
これらのルールは、最新のMITRE ATT&CK®フレームワークv.10に準拠し、署名済みバイナリのプロキシ実行(T1218)を主要技術として防御回避の戦術に対処します。
組織はこのボットネットがネットワークに侵入すると、 Emotetなどの マルウェア攻撃をダウンロードし、異なる挙動のさらなるエクスプロイトを助長する可能性があることに注意する必要があります。そのため、ランサムウェアのような付随的な被害の兆候をEmotetボットの配布と共に確認することが必要です。 Emotetボットの配布Emotetの悪意のある行動に対応する全てのコンテンツを探すには、SOC Primeプラットフォームで利用可能な検出コンテンツを確認できます。
サイバー防衛者は、コミュニティの力を活用し、その脅威検出コンテンツに対する報酬を得るために、Threat Bountyプログラムに参加することを歓迎します。
Emotet感染プロセス
Emotetの復活の重要性を示すために、 Proofpoint は、2022年3月の第一週にEmotetによって送信されたフィッシングメールが273万通以上であったことを発見しました。2022年2月全体の同じメール数(207万通)を超えています。それ以前では、2021年11月に179カ国で13万の新たなボットが検出されました。
新しい Emotetの活動 の証拠は、攻撃者が新しい機能を使用して防御者のセキュリティシステムによって検出されずに動作することを示しています。これには、敵対者が楕円曲線暗号(ECC)を通じてネットワークトラフィックを暗号化し、プロセスリストを独自のモジュールに分離しました。さらに、新しいマルウェアバージョンは感染したホストについてさらに多くの情報を収集する傾向があります。
Black Lotus Labsの研究者 は述べています。 新しい Emotetキャンペーン の成長速度は、2022年2月下旬から3月4日までの日毎に77のユニークなTier 1 C&Cがあることを意味し、ほとんどの Emotet C2の所在地 がアメリカとドイツにあります。一方、感染したボットはアジア、インド、メキシコ、南アフリカ、中国、ブラジル、イタリアなどの地域に主に集中しています。古いWindowsデバイスの数を考慮すると、これらの地域が重く被害を受けた理由が理解できます。
Emotetボットネット は、何百万もの被害者のマシンに感染し、それらを悪意のあるボットに変えることが可能である限り前例のない速度で成長します。共同防衛アプローチに参加することでそれを止めることは可能です。 SOC Prime Detection as Codeプラットフォームに参加し、最新のコンテンツに即座にアクセスして、最新の最もステルスなサイバー脅威を検出するのに役立ててください。また、価値ある知識で貢献したいと感じた場合は、検出コンテンツを私たちのクラウドソーシングプログラムに提出し、あなたのユニークなコンテンツに対する継続的な報酬を得ることができます。
