———————————————————————————————————————————————————————————–

本稿は 2022 年 10 月 10 日に VMware Blog のブログに投稿された「 Emotet Exposed: A Look Inside the Cybercriminal Supply Chain 」の抄訳です。

投稿者：ハビエル・インクラン（Javier Inclan）
この記事の所要時間：3 分

———————————————————————————————————————————————————————————–

Emotet は、検知が非常に困難な、攻撃力の高いマルウェア配信システムの 1 つです。2021 年に法執行機関からテイクダウン（封じ込め）の成功が発表されたものの、ここにきて再び活動が確認されています。まさに高度で持続的な脅威といえるこの標的型攻撃は、侵入の初期段階から深刻な損害をもたらすだけでなく、その後も組織のあらゆる場所に危険を及ぼし続けます。

VMware Threat Analysis Unit™ では、この執拗なリスクについて組織が十分に理解し、自衛できるように、Emotet の最近の活動再開に関するインサイトを公開しています。VMware Threat Analysis Unit はまず、クラウドベースの脅威インテリジェンスである VMware Contexa™ のテレメトリを活用して、2022 年 1 月に始まった新たな Emotet 攻撃の拡大について観察しました。

VMware Threat Analysis Unit が、Emotet のソフトウェア開発ライフサイクルを分析した結果、どのようにして Emotet がコマンド & コントロール（C2）インフラストラクチャをすばやく変更し、構成を難読化していくのかが解明されました。また、巧妙に検出を回避する実行チェーンの改変やテスト、さまざまな段階での異なる攻撃ベクターの展開、水平方向への感染、多数の戦術やテクニックを用いた継続的な進化の方法についても分析されています。

このレポートでは、これらの分析結果を紹介し、最近の Emotet 攻撃によって配信されたマルウェアのエクスプロイト チェーンと内部構造について包括的な情報を提供しています。さらに、Emotet のサンプルや、ネットワークで観察されたセキュリティ侵害インジケーター（IOC）についても取り上げています。

このレポートには、Emotet に関してこれまで発表されたことのないインサイトが掲載されており、以下のような大規模かつ詳細な分析情報が含まれています。

• Emotet が送り込むモジュール
• Emotet の実行チェーンとその進化
• Emotet の攻撃拡大の波、キャンペーン、ネットワーク インフラストラクチャ
• ダミーの Emotet を作成してモジュールを取得する方法
• 最近更新された Emotet の構成を抽出する方法
• 感染手法と Emotet のネットワーク インフラストラクチャとの関連付け、Emotet のアジャイル的なソフトウェア開発ライフサイクルの解明

Emotet に関するこの調査レポートの重要ポイントは以下のとおりです。

• 攻撃パターンが継続的に進化を続けていることの裏付けが示されている
• Emotet 攻撃はさまざまな目的で悪用されており、侵入戦術の多様化により発生率が増えている
• 脅威アクターが C2 フレームワークを隠蔽したまま維持しており、インフラストラクチャは常に変化している

レポートの最後には、Emotet などの悪質なマルウェアに対する防御を徹底するための、セキュリティ戦略の推奨事項とベストプラクティスが掲載されています。

レポートをダウンロード