TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Emotet (まとめ)

==【目次】==

  • 概要
    • 【要点】
    • 【辞書】
    • 【概要】
    • 【攻撃組織】
  • 記事
  • 解析情報
  • 関連情報

概要

【図表】

f:id:tanigawa:20200407185013p:plain

[独自情報] URLhouse.abuse.ch のURL情報(約30万件)から 約10万件のEmotot 関係の情報を抽出し、独自に時系列(日別)に新規URL数をプロット(2020/04/07に更新)
※: 2019/06から2019/09半ばまで、一時休止状態
※: 2019/12末から活動が一時休止状態になるが、2020/01/13から復活。02/10から再び休止状態

【要点】

◎2014年に発見されたトロイの木馬。銀行口座の認証情報を窃取する。のちに、ボットネット化、ワーム機能の搭載、マルウェア配信機能などが、モジュールとして追加された。TA542 / Mummy Spider が攻撃を行っていると考えられている。

【辞書】

◆Emotet (Wikipedia)
https://en.wikipedia.org/wiki/Emotet

◆Emotet (MalwareBytes)
https://www.malwarebytes.com/emotet/

◆Emotet (ATT&CK)
https://attack.mitre.org/software/S0367/

【概要】
項目 内容
分類 バンキングマルウェア、現在は別のマルウェアの初期感染に利用されることが多い
特徴 ライブラリファイルを用いて機能を追加・カスタマイズが可能(モジュラー型のトロイの木馬)
活動時期 2014~
使用組織 TA542(Mummy Spider)
侵入方法 メールで侵入
感染方法 添付ファイル・外部リンク
感染拡大 外部ドライブの認証情報よりパスワードを取得し、SMB経由で共有ドライブへアクセス
パスワードリストを用いてネットワーク内の端末に対して総当たり攻撃
連携マルウェア Trickbot, Ryuk
【攻撃組織】
組織名 別名
TA542 Mummy Spider

※ 2015年までは、闇サイトで販売していたが、その後は TA542 が独占的に使用しているもよう(CrowdStrike)


【注意喚起】

◆マルウエア Emotet の感染に関する注意喚起 (JPCERT/CC, 2019/11/27)
https://www.jpcert.or.jp/at/2019/at190044.html
https://malware-log.hatenablog.com/entry/2019/11/27/000000_4


【最新情報】

◆「Emotet」用いた標的型攻撃が増加 - 米政府が警鐘 (Security NEXT, 2020/01/24)
http://www.security-next.com/111741
https://malware-log.hatenablog.com/entry/2020/01/24/000000

◆国内で感染を広げる「Emotet」、昨年末には件名「賞与支払」などのメールで拡散 (Internet Watch, 2020/01/28 18:41)
https://internet.watch.impress.co.jp/docs/news/1231872.html
https://malware-log.hatenablog.com/entry/2020/01/28/000000_3

◆Emotet感染メールに「新型コロナウイルス」、流行便乗攻撃に警戒を (ZDNet, 2020/01/29 16:57)
https://japan.zdnet.com/article/35148659/
https://malware-log.hatenablog.com/entry/2020/01/29/000000

◆マルウェア「Emotet」の国内感染、少なくとも3200組織に (ZDNet, 2020/02/07 18:04)
https://japan.zdnet.com/article/35149139/
https://malware-log.hatenablog.com/entry/2020/02/07/000000_1

◆「Emotet」攻撃者の日本語レベルが向上--NRIセキュアが最新動向を解説 (ZDNet, 2020/02/07 14:22)
https://japan.zdnet.com/article/35149126/
https://malware-log.hatenablog.com/entry/2020/02/07/000000_2

◆話題に乗じ、知人を装う「Emotet」急増中 今後は人事異動、東京五輪・パラリンピックに便乗か (ITmedia, 2020/02/17 07:00)
https://www.itmedia.co.jp/news/articles/2002/17/news040.html
https://malware-log.hatenablog.com/entry/2020/02/17/000000

続きを読む

AMEXのフィッシング攻撃に注意 - 「異なる端末でアクセス確認」とだます手口

【ニュース】

◆AMEXのフィッシング攻撃に注意 - 「異なる端末でアクセス確認」とだます手口 (Security NEXT, 2020/04/07)
http://www.security-next.com/113853


【関連情報】

◆アメリカン・エキスプレス・カードをかたるフィッシング (2020/04/07) (フィッシング対策協議会, 2020/04/07)
https://www.antiphishing.jp/news/alert/american_express_20200407.html

ZoomBombing (まとめ)

【概要】

■Zoombombingとは

  • Zoomの会議に悪意を持って侵入し、ポルノ画像などの不適切な画像を共有したり、脅迫的な言動をしたりして会議を荒らす行為


■ZoomBombing対策(Zoom社の対策)

主要な対策 備考
会議室パスワードの強化 パスワードの設定がデフォルトで有効
「待機室」機能 主催者が、参加者をバーチャルな待機室で参加を待たせておく機能


トロント大学の研究者が脆弱性を指摘(4/5時点で) *1


■パスワードが設定可能なメニュー

  • 新規に開くミーティングのスケジュール設定
  • 即時ミーティング
  • パーソナルミーティングID


■待機室の脆弱性

  • トロント大学のCitizen Labが脆弱性の存在を示唆(4/5時点) *2


■ZoomBombing緩和策(ユーザレベル)

詳細な緩和策 備考
Zoomの最新アプリを使う 脆弱性対策、バグ対策、最新機能の利用
画面共有を「ホストのみ」に変更 画面乗っ取り対策(デメリット: 参加者は画面共有できなくなる)
「ホストの前の参加」を無効にする 開始前に参加する人への対策
「共同ホスト」を有効にする 運営のサポート(発言者以外が、参加者をチェック可能にする)
「ファイル送信」を無効にする マルウェア共有対策
「取り除かれた参加者を再度参加させることを許可」を無効 追放者の再ログインの制限


【ニュース】

◆ビデオ会議への不快なビデオ共有「ZoomBombing」にご注意を (TechCrunch, 2020/03/18)
https://jp.techcrunch.com/2020/03/18/2020-03-17-zoombombing/
https://malware-log.hatenablog.com/entry/2020/03/18/000000_7

◆人気ビデオ会議アプリ「Zoom」が今も抱えるさまざまな問題 (TechCrunch, 2020/04/01)
https://jp.techcrunch.com/2020/04/01/2020-03-31-zoom-at-your-own-risk/
https://malware-log.hatenablog.com/entry/2020/04/01/000000_1

◆利用急増のZoom、「爆撃」相次ぐ 使用禁じる企業も (朝日新聞, 2020/04/03 21:20)
https://digital.asahi.com/articles/ASN4372PCN43UTIL05V.html?_requesturl=articles%2FASN4372PCN43UTIL05V.html&pn=6
https://malware-log.hatenablog.com/entry/2020/04/03/000000_3

◆Zoom、パスワード強化と「待機室」追加 “Zoombombing”対策で (ITmedia, 2020/04/05 07:03)
https://www.itmedia.co.jp/news/articles/2004/05/news009.html
https://malware-log.hatenablog.com/entry/2020/04/05/000000_1

◆Zoombombingは犯罪 米司法省が警告 (ITmedia, 2020/04/05 10:50)
https://www.itmedia.co.jp/news/articles/2004/05/news012.html
https://malware-log.hatenablog.com/entry/2020/04/05/000000

◆Zoomが参加者の承認をデフォルトにしてZoom爆撃を防止 (TechCrunch, 2020/04/06)
https://jp.techcrunch.com/2020/04/06/2020-04-03-zoom-waiting-rooms-default/
https://malware-log.hatenablog.com/entry/2020/04/06/000000


【ブログ】

◆A Quick Look at the Confidentiality of Zoom Meetings (Citizen Lab, 2020/04/03) [推奨資料]
https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/
https://malware-log.hatenablog.com/entry/2020/04/03/000000_7


【関連まとめ記事】

全体まとめ

◆攻撃手法 (まとめ)
https://malware-log.hatenablog.com/entry/Attack_Method

 ◆アプリ (まとめ)

◆Zoom (まとめ)
https://malware-log.hatenablog.com/entry/Zoom

Zoomが参加者の承認をデフォルトにしてZoom爆撃を防止

【ニュース】

◆Zoomが参加者の承認をデフォルトにしてZoom爆撃を防止 (TechCrunch, 2020/04/06)
https://jp.techcrunch.com/2020/04/06/2020-04-03-zoom-waiting-rooms-default/


【関連まとめ記事】

全体まとめ
 ◆攻撃手法 (まとめ)

◆ZoomBombing (まとめ)
https://malware-log.hatenablog.com/entry/ZoomBombing

 ◆アプリ (まとめ)
  ◆Zoom (まとめ)

Zoom (まとめ)

【目次】

  • 概要
    • 【要点】
    • 【概要】
  • 記事
    • 【ニュース】
    • 【ブログ】
  • テーマ別分類
    • 【ZoomBombing】
    • 【使用制限】
  • 図表
    • 【図表】
  • 関連情報
    • 【関連情報】
    • 【関連まとめ記事】

概要

【要点】

◎新型コロナ対策で、急速に普及が進んだ遠隔会議サービス「Zoom」に、複数のセキュリティ上の問題が発見され話題を呼んでいる。

【概要】

■Zoomの問題

  • Facebookへのデータ送信
  • エンドツーエンドで暗号化という表現への疑問
  • Mac版、OSを乗っ取り可能な脆弱性
  • Mac版、インストール時にマルウェア的な挙動
  • Windows版クライアントに脆弱性


■ZoomBombing対策

主要な対策 備考
会議室パスワードの強化
「待機室」機能 トロント大学の研究者が脆弱性を指摘(4/5時点で) *1


■ZoomBombing緩和策

詳細な緩和策 備考
画面共有を「ホストのみ」に変更 画面乗っ取り対策
「ホストの前の参加」を無効にする 開始前の対策
「共同ホスト」を有効にする 運営のサポート
「ファイル送信」を無効にする マルウェア共有対策
「取り除かれた参加者を再度参加させることを許可」を無効 追放者の再ログインの制限
続きを読む

Zoom、北米のWeb会議の暗号キーを誤って中国データセンター経由にした問題について説明

【ニュース】

◆Zoom、北米のWeb会議の暗号キーを誤って中国データセンター経由にした問題について説明 (ITmedia, 2020/04/05 09:54)
https://www.itmedia.co.jp/news/articles/2004/05/news010.html


【関連まとめ記事】

全体まとめ
 ◆アプリ (まとめ)

◆Zoom (まとめ)
https://malware-log.hatenablog.com/entry/Zoom

Zoom、パスワード強化と「待機室」追加 “Zoombombing”対策で

【概要】

■Zoombombing対策

  • 会議室パスワードの強化
  • 「待機室」機能


■待機室の脆弱性

  • トロント大学の研究者が指摘 *1


【ニュース】

◆Zoom、パスワード強化と「待機室」追加 “Zoombombing”対策で (ITmedia, 2020/04/05 07:03)
https://www.itmedia.co.jp/news/articles/2004/05/news009.html


【関連情報】

◆A Quick Look at the Confidentiality of Zoom Meetings (Citizen Lab, 2020/04/03)
https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/


【関連まとめ記事】

全体まとめ
 ◆アプリ (まとめ)

◆Zoom (まとめ)
https://malware-log.hatenablog.com/entry/Zoom

Zoombombingは犯罪 米司法省が警告

【概要】

■Zoombombingとは

  • Zoomの会議に悪意を持って侵入し、ポルノ画像などの不適切な画像を共有したり、脅迫的な言動をしたりして会議を荒らす行為

■Zoombombingを防ぐための注意事項

  • 会議を公開しない
  • SNSに会議へのリンクを投稿しない
  • 画面共有設定を「ホストのみ」に変更する
  • Zoomの最新アプリを使う


【ニュース】

◆Zoombombingは犯罪 米司法省が警告 (ITmedia, 2020/04/05 10:50)
https://www.itmedia.co.jp/news/articles/2004/05/news012.html


【関連まとめ記事】

全体まとめ
 ◆アプリ (まとめ)

◆Zoom (まとめ)
https://malware-log.hatenablog.com/entry/Zoom

新型コロナウイルス (まとめ)

【目次】

  • 【辞書】
  • 【概要】
  • 記事
    • 【ニュース】
    • 【公開情報】
  • 関連情報
    • 【関連まとめ記事】
【辞書】

◆新型コロナウイルス感染症 (まとめ) (TT Science Lab)
https://science-lab.hatenablog.com/entry/COVID-19

【概要】

■攻撃者の動向

マルウェア名 医療機関等への攻撃
Clop 病院や慈善団体などの特定の種類の施設を攻撃したことはなく、今後も攻撃しない
DoppelPaymer 通常は病院や特別養護老人ホームをターゲットにしておらず、パンデミック中もこのアプローチを継続
Maze パンデミックが終了するまで、あらゆる種類の医療機関に対するすべての「活動」を停止(守られていない)
Nefilim 非営利団体、病院、学校、または政府機関を標的にしていない
Netwalker 病院を標的にしていない
Ryuk 攻撃を継続する
続きを読む

Talos の 1 週間における脅威のまとめ (まとめ)

【目次】

  • 最新情報
    • 【最新情報】
  • 記事
    • 【ブログ】 - 英語 -
    • 【ブログ】 - 日本語 -
    • 【参考サイト】
  • 関連情報
    • 【関連まとめ記事】

最新情報

【最新情報】

◆Threat Roundup for March 27 to April 3 (Talos(CISCO), 2020/04/03)

DarkComet / Nymaim / Emotet / Kuluoz / Cerber / Ursnif / Qakbot / njRAT / Xpiro

https://blog.talosintelligence.com/2020/04/threat-roundup-0326-0403.html
https://storage.googleapis.com/blogs-images/ciscoblogs/1/2020/04/20200403-tru.json_.txt
https://malware-log.hatenablog.com/entry/2020/04/03/000000_5

続きを読む

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019