1. HOME
  2. ブログ
  3. Blog
  4. 主要なMaaS(Malware-as-a-Service)として進化するEmotet

Info.

お知らせ

Blog

主要なMaaS(Malware-as-a-Service)として進化するEmotet

主要なMaaS(Malware-as-a-Service)として進化するEmotet のページ写真 1

トピック: ブランドインパーソネーションメール保護Emotetマルウェアスパム

2020年6月19日、Christine Barry

サイバー犯罪が非常に急速に増加している理由の一つは、「食物連鎖」の頂点にいる攻撃者が犯罪の「スケーラブルなビジネスモデル」を構築しているためです。この結果、経験が豊富な攻撃者グループが協力し、新参の攻撃者が古参の攻撃者のリソースを活用できます。CaaS(Crime-as-a-Service)は、まったく新しくありません。しかし、クライムウェア開発者が、最新の脆弱性を悪用し、セキュリティを常に上回ろうとしているため、ツールは急速に変化しています。バンキング型トロイの木馬Emotetは他の攻撃者グループにマルウェアを配信する主要なサービスとして進化しています。このため、この脅威を理解および防止する必要があります。

Emotetの進化

バンキング攻撃は協力的な場合もありますが、通常、バンキング型トロイの木馬は第三者の攻撃者にサービスを提供していません。Emotetは、2014年にバンキング型トロイの木馬として発見されてから、常に進化しています。開発者は新しいバイパス機能、新しい配信方法、およびデータを盗み出すための主要な機能の向上を追加しています。このマルウェアが長期にわたって成功している事実は高度な犯罪組織がこのマルウェアを運用していることを示唆しており、この示唆はデータ侵害のほとんどが組織犯罪によるという最近の調査結果と一致しています。Emotetの時系列の進化は下記のとおりです。

2014

Emotetはバンキング認証情報と機密情報を個別のエンドポイントから盗み出すように設計されたモジュール式マルウェアとして出現しました。MFA(多要素認証)をバイパスし、ワームのような動作によって他のシステムに感染することが有名な機能でした。

2015

VM(仮想マシン)を検出できる新しいバイパス機能が追加されました。MFAのバイパスが向上し、受信者から攻撃者に送金を実行できる新しいバンキング機能が追加されました。

2017

バンキング以外の複数の業界もEmotetによる攻撃を受けました。検出をさらに困難にするための分析をバイパスする新しい技術とWindows APIコンポーネントが新しい機能として追加されました。

2018

メールの内容と連絡先リストを盗み出し、保護されたシステムに拡散して感染し、他のマルウェアを配信する機能が追加されました。

感染したマシンがEmotetボットネットの一部になるように、EmotetはC2(コマンドアンドコントロール)サーバに接続します。(Emotetは、このマルウェア自体、およびこのマルウェアを開発し、C2サーバを管理する犯罪組織の両方を表します。)Emotetグループは、C2サーバを悪用して、新しいマルウェアをインストールし、感染したマシンをリモートから管理し、盗み出した情報を攻撃者に返送します。Emotetインフラストラクチャでは、他の攻撃者グループがEmotetに感染したマシンへのアクセス権限を購入できます。このように、Emotetは、MaaSとして動作して、サードパーティマルウェアを拡散します。

現在のEmotet

Emotetは、ブランドインパーソネーションとスピアフィッシングを悪用して、メールが信頼可能な送信元から送信されたと受信者に思い込ませます。このようなメールは悪意のある添付ファイルまたは改ざんされたWebサイトへのリンクを含んでいます。添付ファイルまたはリンクが実行されると、Emotetは受信者のマシンにダウンロードされます。攻撃が開始すると、Emotetは、有線とWi-Fiの両方の接続を悪用して、ネットワーク全体に拡散しようとします。

下記のとおり、DHS(米国国土安全保障省)は、この脅威について詳細に説明し、国民に警告する通知を発行しました。

Emotetは引き続き米国のSLTT(州、地方自治体、部族政府、および準州)に影響している最も損害の大きい破壊的なマルウェアの一つです。また、ワームのような機能によって、ネットワーク全体に急速に拡散して感染しているため、対処しにくいです。SLTTは、Emotetへの感染から復旧するために、1インシデントに最大100万ドルを費やしています。

Emotetによる攻撃が実行されると、機密情報が漏洩し、ビジネスが中断し、ブランドの信用が低下する可能性があります。また、ダウンタイムと復旧コストが壊滅的になる可能性があります。米国ペンシルベニア州アレンタウンは、2018年のEmotetによる攻撃から復旧するために、100万ドルを費やしました。攻撃を受けた他の有名な公的機関は大規模な公立図書館米国マサチューセッツ州クインシーです。

対策

Emotetは複数の攻撃機能を実装しているため、ネットワークを十分に保護するための多層的なセキュリティが必要です。対策は下記のとおりです。

  • 最新のエンドポイントマルウェア対策ソフトウェアを管理し、更新とパッチをすぐに適用する。
  • メール保護を導入して、疑わしい添付ファイル、および既知のURL、件名、IPアドレスなどの兆候を拒否する。
  • ネットワークをマルウェアから保護するWebセキュリティゲートウェイを使用する。
  • セキュアなWi-Fi接続と最小権限の原則によって、ネットワーク共有を可能なかぎり保護する。
  • ネットワークユーザにセキュリティ意識トレーニングを実施する。

Emotetなどの脅威からネットワークを保護する方法の詳細については、www.barracuda.comをご参照ください。

電子書籍を今すぐ入手

原文はこちら:

Emotet emerges as a leader in Malware-as-a-Service

June 19, 2020 Christine Barry

https://blog.barracuda.com/2020/06/19/emotet-emerges-as-a-leader-in-maas/

関連記事