ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
Emotetマルウェアは、2014年に初めて確認された非常に破壊的なバンキング型トロイの木馬です。何年にもわたって、新しい機能や機能を追加して進化を遂げ、次のようなサイバーセキュリティ機関を後押ししてきました。 オーストラリアサイバーセキュリティセンター そして 米国証明書 勧告を出すこと。Emotet マルウェアは通常、追加のリモートアクセスツールのダウンロードとインストールに使用されるモジュール型トロイの木馬ボットをドロップする悪意のある文書を介して拡散します。2019 年 1 月に、このマルウェアがどのように戦術を変え、Emotet マルウェア攻撃の数が急増したかについてブログ記事を書きました。先週、顧客ベース全体でEmotetマルウェアのトランザクション数が急増していることがわかりました。 米国証明書 また、最近相次ぐ攻撃に関する新たな勧告も発表しました。
私たちの調査によると、Emotetマルウェアは依然として非常に活発で、最も破壊的なマルウェア攻撃の1つであり続けています。このマルウェアは長年にわたって進化を続けており、Emotetの背後にいる攻撃者は感染したエンドポイントを利用して手ごわいボットネットを構築しました。このボットネットは、TrickbotやDridexなどの複数のマルウェアファミリーや、Ryukなどのランサムウェアの配布に使用されています。
2019年のホリデーシーズンを突破した後、Emotetマルウェア攻撃は2020年に再開されました。今回は金融サービス業界を標的にしています。以前のバージョンと同様に、Emotetマルウェアは攻撃を仕掛けるために使用された最初の攻撃ベクトルにすぎません。攻撃は、ユーザーがダウンロードして開くように設計された悪意のある Microsoft Word 文書から開始されます。いったん開かれると、悪質なマクロが実行され、コマンドアンドコントロールサーバーに接続して次の段階の攻撃が開始されます。
Menlo Security Researchは、この最新のEmotetマルウェア攻撃についての理解を深めるために、以下のトピックを分析しました。この分析のデータは、金融サービス、教育機関、軍事など、あらゆる業界の何百万人ものユーザーをサポートするMenlo Security Cloud Platformから入手したものです。この分析では、Emotet ドキュメントマクロとローダーの分析に加えて、この直近の Emotet マルウェア攻撃の急増について以下を分析し、影響を受けた業界の分布を示しています。
最近のニュース Emotetの感染が多くの組織の日常業務に支障をきたしていることを示しています。Emotetは通常、大量の侵害を受けたWebサイトを介して悪意のある文書を配信することで、一気に拡散します。その後、感染した各ホストを使用してボットネットが構築されます。Menloのセキュリティリサーチチームは、2020年1月にEmotetマルウェアのアクティビティが急増したことに気付きました。この急増は、当社のクラウド隔離プラットフォームを通じて検出されました。このプラットフォームは、電子メールの添付ファイルや、電子メールで送信されたリンクからアクセスしたWebサイトをリモートでレンダリングし、悪意のある文書がエンドユーザーのコンピューターに届く可能性を排除します。この急増は1月14日から22日の間に発生し、米国、ヨーロッパ、アジアの隔離サービスを利用しているお客様に影響を及ぼしました。次のグラフは、2020 年 1 月 14 日から 22 日にかけて Emotet ドキュメントのリクエスト数が急増したことを示しています。
上のグラフは、検出されたEmotetマルウェアの急増を示しています
他のEmotetマルウェアバージョンと同様に、この最近の攻撃でもMicrosoft Word文書内の悪意のあるマクロが使用されました。これらのメールは、正当な銀行取引または金融取引のように見せかけるように作成されました。この最新のキャンペーンで使用された件名の例を以下に示します。
2020年1月のキャンペーンは、2019年後半に発生した攻撃と同様のキルチェーンをたどったようです。最初の攻撃は、ネットワークに足掛かりをつけ、コマンド・アンド・コントロール・サーバーとの接続を確立するためだけに使われています。いったん侵入されると、別のマルウェアがダウンロードされ、マルウェアは同じネットワーク上の他のコンピューターに拡散しようとします。
上記のフローから、Emotetのキルチェーンを以下のように分割できます。
当社のデータによると、2020 年 1 月のキャンペーンは、主に米国の金融サービス企業を対象としていました。以下のグラフは、これらのリクエストが寄せられた業種/垂直分布と地域を示しています。他の業種や地域も攻撃に含まれていましたが、その程度ははるかに低かったです。
Emotet マルウェアが使用する手法の 1 つは、侵害を受けた他の正規の Web サイトを通じて自身を感染させることです。これにより、実質的に新たなゼロデイ攻撃が発生します。そのため、マルウェアの送信元は絶えず変化しているため、マルウェアからの保護が特に困難になります。次の表は、悪意のある文書を配信した最初の配信 URL の分布を分類したものです。このデータは、Emotetマルウェアが引き続きセキュリティ防御を回避し、大混乱を引き起こしている理由を非常に明確に示しています。Emotetマルウェアの配布に使用されたURLの76%は、実際には主要な脅威インテリジェンスデータベースによって安全と分類されています。侵害されたウェブサイトの中には、学術機関のものもありました。つまり、セキュリティ製品が、ユーザーによるこれらのサイトへのアクセスやコンテンツのダウンロードをブロックしたり禁止したりすることはないということです。幸いなことに、Menlo Securityの顧客は完全に保護されていました。これらの悪質なサイトは隔離されて閲覧され、エンドユーザーを完全に保護していたからです。
ドキュメント内の埋め込みマクロが有効になると、PowerShellが起動し、URLのリストを試して最初のEmotetローダーを取得しようとします。マクロの動作については次のような観察結果があります。
さらなる分析の結果、2020年1月のEmotetマルウェアは、複数のネットワークを通じて実行された広範囲にわたるキャンペーンであったことが分かりました。グローバルな金融センターを持つ特定の国では、IP アドレスが集中していました。
ドロップされる最後のEmotetボットは、通常、設定ファイル内のIPアドレスのリストからIPを選択してコマンドアンドコントロールチャネルを確立するモジュール式トロイの木馬です。Emotet ローダーは十分に研究され、文書化されているので、ここではこのボットの内部動作については触れません。観察したバリエーションには次のようなものがあります。
Emotetマルウェアは、長い時間をかけて強力なインフラストラクチャを構築してきました。タイムリーに緩和しなければ、組織にとって破壊的な被害をもたらす可能性があります。Emotetマルウェアは、多段階攻撃を利用し、正規のWebサイトを通じて悪意のあるコードを配布する手法により、シグネチャや脅威インテリジェンスに依存する従来のセキュリティ製品では特に防止が困難です。Emotetマルウェア攻撃から企業を守るためには、企業は次のことを行う必要があります。
脅威対応チーム向け:Emotetアクターが使用するテクニックを注意深く見守ってください。 https://attack.mitre.org/software/S0367/ にはEmotet.Email専用のATT&CKフレームワークページがあり、ウェブ分離により、ユーザーとマルウェアの間に安全で論理的に隔離された実行環境をクラウドに挿入することで、Emotetマルウェアから完全に保護できます。エンドポイントから離れてセッションを実行し、安全にレンダリングされた情報のみをデバイスに配信することで、ユーザーはマルウェアや悪意のあるアクティビティから保護されます。その結果、Emotet マルウェアは到達できないデバイスには感染できません。隔離することで、マルウェアが侵害された、または悪意のある Web サイト、電子メール、または文書を介してユーザーのデバイスに侵入する可能性がなくなります。このアプローチは検出や分類ではなく、ユーザーの Web セッションとすべてのアクティブコンテンツ (JavaScript、Flash など) の検出や分類です。それが良いか悪いかにかかわらず、クラウド内のリモート Web ブラウザーで完全に実行され、封じ込められます。Menlo Securityは、何百社ものグローバル2000企業や主要政府機関が隔離を利用して、Emotetやその他のマルウェア、フィッシング攻撃、ドライブバイエクスプロイト、その他のウェブやメールベースの攻撃から身を守るのを支援してきました。
Menloセキュリティの詳細については、今すぐMenloSecurityにお問い合わせください アイソレーションコア™ による安全なインターネット
