TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

復活版 Emotet (まとめ)

《インシデント》
incidents.hatenablog.com

《テイクダウン以前のEmotet情報》
malware-log.hatenablog.com


【要点】

◎2/22から攻撃が再開。3/28の週も攻撃活動は継続中
◎4/19に活動再開
◎64bit化、ショートカット利用等新手口を採用



urlHaus のデータを元に独自にプロット(2022/05/01~2022/07/31)

urlHaus のデータを元に独自にプロット(2022/01/01~2022/06/26)


【目次】

概要

【辞書】

◆Emotet (Wikipedia)
https://en.wikipedia.org/wiki/Emotet

◆Emotet (MalwareBytes)
https://www.malwarebytes.com/emotet/

◆Emotet (ATT&CK)
https://attack.mitre.org/software/S0367/

【図表】

■インシデント ⇒ TT Incidents Log に移動

◆Emotet (まとめ) [TT Incident Log]
https://incidents.hatenablog.com/entry/Emotet

【概要】

■国内の感染情報

・Emotetのメールを送付した企業・組織は国内でも400以上 (Digital Arts, 2022/03/31)


■内包するモジュール

・SPAMモジュール
・電子メールの認証情報を盗むモジュール
・Outlook電子メール・アドレス収集
・ブラウザの認証情報を盗む
・ウェブインジェクター
・認証情報のブルートフォースとラテラルムーブメントモジュール

出典: https://intel471.com/blog/emotet-returns-december-2021


■コマンド

オペコード
コマンド名
説明
1 バイナリの更新 modlist/drop ディレクトリを展開し、base64 でコマンドラインに追加した後、バイナリをドロップして起動します。
2 モジュールのロード モジュールをメモリにインジェクトします。
3 EXE 実行 実行ファイルをドロップして実行します。
4 Execute EXE as user 特定のユーザーとして実行ファイルをドロップして実行します。
5 エクスポート付きDLLのインジェクト DLLをメモリにインジェクトし、export DllRegisterServerをマッピングして実行します。
6 regsvr32[.]exeでDLLを実行する "regsvr32[.]exe -s "でDLLを落として実行します。
7 rundll32[.]exeでDLLを実行する "rundll32[.]exe , Control_RunDLL. "でDLLを落として実行します。

出典: https://intel471.com/blog/emotet-returns-december-2021

【最新情報】

◆「“拡張子を表示”にしていても表示されない拡張子」を使った攻撃を確認 デジタルアーツがEmotetに関するレポートを公開 (@IT, 2022/06/06 08:00)
https://atmarkit.itmedia.co.jp/ait/articles/2206/06/news033.html
https://malware-log.hatenablog.com/entry/2022/06/06/000000

◆Emotetの解析結果について (警察庁, 2022/06/09)
https://www.npa.go.jp/cyberpolice/important/2020/202012111.html
https://malware-log.hatenablog.com/entry/2022/06/09/000000_5

◆Emotet被害は日本が突出 2022年第1四半期の調査結果を公開――トレンドマイクロ (ITmedia, 2022/06/10 08:00)
https://www.itmedia.co.jp/enterprise/articles/2206/10/news058.html
https://malware-log.hatenablog.com/entry/2022/06/10/000000_8

◆Emotetに「Google Chrome」内のクレカ情報を盗む機能が追加される 警察庁が注意喚起 (ITmedia, 2022/06/13 12:20)
https://www.itmedia.co.jp/news/articles/2206/13/news107.html
https://malware-log.hatenablog.com/entry/2022/06/13/000000

◆PayPay、PPAPの受信を停止 今後はクラウドストレージ経由でファイル共有 Emotet対策で (ITmedia, 2022/06/22 11:25)
https://www.itmedia.co.jp/news/articles/2206/22/news111.html
https://malware-log.hatenablog.com/entry/2022/06/22/000000

記事

【注意喚起】

◆マルウェアEmotetの感染再拡大に関する注意喚起 (JPCERT/CC, 2022/02/10)
https://www.jpcert.or.jp/at/2022/at220006.html
https://malware-log.hatenablog.com/entry/2022/02/10/000000_14

【ニュース】

■2021年

◇2021年11月

◆Emotet malware is back and rebuilding its botnet via TrickBot (BleepingComputer, 2021/11/15 15:04)
[Emotetマルウェアが復活し、TrickBotを介してボットネットを再構築している]
https://www.bleepingcomputer.com/news/security/emotet-malware-is-back-and-rebuilding-its-botnet-via-trickbot/
https://malware-log.hatenablog.com/entry/2021/11/15/000000

◆マルウェア「Emotet」が復活--テイクダウンから10カ月ぶりに再流行の兆し (ZDNet, 2021/11/16 14:02)
https://japan.zdnet.com/article/35179514/
https://malware-log.hatenablog.com/entry/2021/11/16/000000

◆Emotet活動再開 日本も標的に LACが注意喚起 (ITmdia, 2021/11/22 14:26)
https://www.itmedia.co.jp/news/articles/2111/22/news107.html
https://malware-log.hatenablog.com/entry/2021/11/22/000000_7

◆Emotetが活動再開 インターネット利用者全員が取るべき対策をおさらいしてみた (ITmedia, 2021/11/24)
https://www.itmedia.co.jp/enterprise/articles/2111/24/news028.html
https://malware-log.hatenablog.com/entry/2021/11/24/000000_2


◇2021年12月

◆Emotet now spreads via fake Adobe Windows App Installer packages (BleepingComputer, 2021/12/01 18:43)
[Emotetは現在、偽のAdobe Windows App Installerパッケージを介して広がっています]
https://www.bleepingcomputer.com/news/security/emotet-now-spreads-via-fake-adobe-windows-app-installer-packages/
https://malware-log.hatenablog.com/entry/2021/12/01/000000_11

◆悪名高いマルウェア「Emotet」、PDF閲覧アプリ装い再び拡散中 (マイナビニュース, 2021/12/04 17:48)
https://news.mynavi.jp/techplus/article/20211204-2213447/
https://malware-log.hatenablog.com/entry/2021/12/04/000000

◆復活したEmotet 偽のAdobeインスト―ラーで感染拡大を図る (ITmedia, 2021/12/06 08:00)
https://www.itmedia.co.jp/enterprise/articles/2112/06/news040.html
https://malware-log.hatenablog.com/entry/2021/12/06/000000_5

◆Emotet now drops Cobalt Strike, fast forwards ransomware attacks (BleepingComputer, 2021/12/07 18:21)
[EmotetがCobalt Strikeをドロップし、ランサムウェア攻撃を高速化]
https://www.bleepingcomputer.com/news/security/emotet-now-drops-cobalt-strike-fast-forwards-ransomware-attacks/
https://malware-log.hatenablog.com/entry/2021/12/07/000000_1

◆活動再開のマルウェア「Emotet」、オープンソースのメールソフト「Thunderbird」も攻撃対象に。警察庁が解析 (Internet Watch, 2021/12/07 19:02)
https://internet.watch.impress.co.jp/docs/news/1371526.html
https://malware-log.hatenablog.com/entry/2021/12/07/000000_3

◆Trickbot-Infected Machines Drop Emotet Samples (DarkReading, 2021/12/09)
[Trickbotに感染したマシンがEmotetのサンプルを落とす]
https://www.darkreading.com/threat-intelligence/trickbot-infected-machines-drop-emotet-samples
https://malware-log.hatenablog.com/entry/2021/12/09/000000_4

◆撲滅されたもっとも危険なマルウェア「Emotet」、再起動を確認 (マイナビニュース, 2021/12/09 19:37)
https://news.mynavi.jp/techplus/article/20211209-2222060/
https://malware-log.hatenablog.com/entry/2021/12/09/000000_6

◆Emotetがバンキング型トロイの木馬「Trickbot」を経由して感染拡大中 (ITmedia, 2021/12/10 07:00)
https://www.itmedia.co.jp/enterprise/articles/2112/10/news048.html
https://malware-log.hatenablog.com/entry/2021/12/10/000000

◆Emotet Is Back and More Dangerous Than Before (DarkReading, 2021/12/10)
[復活したエモテットは以前よりも危険な存在に]

Volume of traffic associated with the malware is now back at 50% of the volume before law enforcement took the botnet operation down in January 2021, security vendor says.
[セキュリティベンダーによると、このマルウェアに関連するトラフィック量は、2021年1月に法執行機関がボットネットの運用を停止する前の50%に戻っているという]

https://www.darkreading.com/threat-intelligence/emotet-is-back-and-it-s-more-dangerous-than-before
https://malware-log.hatenablog.com/entry/2021/12/10/000000_1

◆Emotet starts dropping Cobalt Strike again for faster attacks (BleepingComputer, 2021/12/15 16:59)
[EmotetはCobalt Strikeを再び投下し、より速い攻撃を行うようになる]
https://www.bleepingcomputer.com/news/security/emotet-starts-dropping-cobalt-strike-again-for-faster-attacks/
https://malware-log.hatenablog.com/entry/2021/12/15/000000_12

◆複数端末が「Emotet」などマルウェアに感染 - カネコ種苗 (Security NEXT, 2021/12/28)
https://www.security-next.com/132912
https://malware-log.hatenablog.com/entry/2021/12/28/000000_2


■2022年


◇2022年1月

◆16 進、8 進表記 IP アドレスで検出回避試みる Emotet の手口 (NetSecurity, 2022/02/03 08:00)
https://scan.netsecurity.ne.jp/article/2022/02/03/47068.html
https://malware-log.hatenablog.com/entry/2022/02/03/000000_8


◇2022年2月

◆「Emotet」に感染、関係者になりすましメールが送信 - 積水ハウス (Security NEXT, 2022/02/02)
https://www.security-next.com/133829
https://malware-log.hatenablog.com/entry/2022/02/02/000000_8

◆積水ハウスグループで再び「Emotet」感染を確認 (NetSecurity, 2022/02/02 08:05)
https://scan.netsecurity.ne.jp/article/2022/02/02/47063.html
https://malware-log.hatenablog.com/entry/2022/02/02/000000_11

◆Microsoft disables MSIX protocol handler abused in Emotet attacks (BleepingComputer, 2022/02/04 19:10)
[マイクロソフト、Emotet攻撃で悪用されたMSIXプロトコルハンドラを無効化]
https://www.bleepingcomputer.com/news/microsoft/microsoft-disables-msix-protocol-handler-abused-in-emotet-attacks/
https://malware-log.hatenablog.com/entry/2022/02/04/000000_20

◆「Emotet」感染で情報流出、なりすましメールが送信 - ライオン (Security NEXT, 2022/02/04)
https://www.security-next.com/133912
https://malware-log.hatenablog.com/entry/2022/02/04/000000_1

◆過去の送受信メールが流出、ドリームパネル社員を装った不審メールに注意を呼びかけ (NetSecurity, 2022/02/04 08:05)

木造建築用パネルの製造販売を行う株式会社ドリームパネルは1月24日、同社社内のパソコンから過去の送受信メールが流出したと発表した

https://scan.netsecurity.ne.jp/article/2022/02/04/47085.html
https://malware-log.hatenablog.com/entry/2022/02/04/000000_12

◆Emotet感染報告、国内企業から相次ぐ ライオン、テスコムなど (ITmedia, 2022/02/07 15:11)
https://www.itmedia.co.jp/news/articles/2202/07/news106.html
https://malware-log.hatenablog.com/entry/2022/02/07/000000_2

◆壁紙専門店で「Emotet」感染 - 社名やサイト装うメールが送信される (Security NEXT, 2022/02/07)
https://www.security-next.com/133939
https://malware-log.hatenablog.com/entry/2022/02/07/000000_3

◆「Emotet」感染、従業員装うメールが送信 - リコーリース (Security NEXT, 2022/02/09)
https://www.security-next.com/134040
https://malware-log.hatenablog.com/entry/2022/02/09/000000_1

◆【重要】北海道新聞社を装ったなりすましメールにご注意ください (北海道新聞, 2022/02/09)
https://www.hokkaido-np.co.jp/article/643830
https://malware-log.hatenablog.com/entry/2022/02/09/000000_5

◆クラシエ、マルウェア「Emotet」に感染 ライオンや積水ハウスに続き (ITmedia, 2022/02/10 13:01)
https://www.itmedia.co.jp/news/articles/2202/10/news113.html
https://malware-log.hatenablog.com/entry/2022/02/10/000000_2

◆「Emotet」感染が急速に再拡大 「大幅に拡散した2020年に迫る勢い」 JPCERT/CCが注意喚起 (ITmedia, 2022/02/10 16:54)
https://www.itmedia.co.jp/news/articles/2202/10/news159.html
https://malware-log.hatenablog.com/entry/2022/02/10/000000_1

◆マルウェア「Emotet」が再流行、復活後に勢力拡大 (ZDNet, 2022/02/10 17:57)
https://japan.zdnet.com/article/35183398/
https://malware-log.hatenablog.com/entry/2022/02/10/000000_11

◆北海道新聞を装ったメールが送信、「Emotet」感染か (Securirty NEXT, 2022/02/10)
https://www.security-next.com/134064
https://malware-log.hatenablog.com/entry/2022/02/10/000000_5

◆「Emotet」感染、2月第1週より急速に拡大 - ピーク時に迫る勢い (Security NEXT, 2022/02/10)
https://www.security-next.com/134075
https://malware-log.hatenablog.com/entry/2022/02/10/000000_4

◆弁護士や職員装うメールが送信される - 三宅法律事務所 (Security NEXT, 2022/02/10)
https://www.security-next.com/134083
https://malware-log.hatenablog.com/entry/2022/02/10/000000_6

◆撲滅作戦から1年、マルウェア「Emotet」が急速に再感染拡大 - 警戒を (マイナビニュース, 2022/02/12 20:44)
https://news.mynavi.jp/techplus/article/20220212-2270858/
https://malware-log.hatenablog.com/entry/2022/02/12/000000

◆1月マルウェアランキング、Emotetが首位に返り咲き (マイナビニュース, 2022/02/13 20:39)
https://news.mynavi.jp/techplus/article/20220213-2270186/
https://malware-log.hatenablog.com/entry/2022/02/13/000000

◆マルウェア「Emotet」とは メール文面を転用 2月から感染相次ぐ (朝日新聞, 2022/02/13)
https://smbiz.asahi.com/article/14547304
https://malware-log.hatenablog.com/entry/2022/02/13/000000_3

◆Emotetが再流行 感染していないか「EmoCheck」で確認しよう (ITmedia, 2022/02/14 11:00)
https://www.itmedia.co.jp/news/articles/2202/14/news084.html
https://malware-log.hatenablog.com/entry/2022/02/14/000000

◆Over 2.7 million cases of Emotet malware detected globally (ABS.CBN News, 2022/02/15)
[全世界で270万件以上のEmotetマルウェアを検出]
https://news.abs-cbn.com/overseas/02/15/22/over-27-million-cases-of-emotet-malware-detected-globally
https://malware-log.hatenablog.com/entry/2022/02/15/000000_8

◆ペット保険販売アニコムでもEmotet感染、使用ドメイン公開し注意喚起 (NetSecurity, 2022/02/16 08:05)
https://scan.netsecurity.ne.jp/article/2022/02/16/47143.html
https://malware-log.hatenablog.com/entry/2022/02/16/000000_7

◆医療法人のパソコンがEmotet感染、実在する部署や職員名を騙った不審メールを確認 (NetSecurity, 2022/02/16 08:05)
https://scan.netsecurity.ne.jp/article/2022/02/16/47145.html
https://malware-log.hatenablog.com/entry/2022/02/16/000000_8

◆Emotet Now Spreading Through Malicious Excel Files (Threatpost, 2022/02/16 08:39)
[Emotetが悪意のあるExcelファイルを介して拡散中]
https://threatpost.com/emotet-spreading-malicious-excel-files/178444/
https://malware-log.hatenablog.com/entry/2022/02/16/000000_13

◆「Emotet」に感染、従業員なりすましメールが送信される - ワコール (Security NEXT, 2022/02/17)
https://www.security-next.com/134212
https://malware-log.hatenablog.com/entry/2022/02/17/000000_4

◆壊滅したはずのEMOTETが完全復活、2022年2月に入って爆発的に流行の兆し (is702(Trendmicro), 2022/02/17)
https://is702.jp/news/3929/
https://malware-log.hatenablog.com/entry/2022/02/17/000000_3

◆マルウェア「Emotet」の感染の新しい手口を観測 (マイナビニュース, 2022/02/18 09:57)
https://news.mynavi.jp/techplus/article/20220218-2274451/
https://malware-log.hatenablog.com/entry/2022/02/18/000000_2

◆永平寺中学校のパソコンがウイルス感染 世界的被害の「Emotet」、福井県内の教員名で偽造メール (福井新聞, 2022/02/19 07:00)
https://www.fukuishimbun.co.jp/articles/-/1496540
https://malware-log.hatenablog.com/entry/2022/02/19/000000_4

◆沈静化していた最凶マルウェア「Emotet」が再拡大中、取引先や知人を装うメールに騙されるな (Internet Watch, 2022/02/25 13:04)
https://internet.watch.impress.co.jp/docs/column/dlis/1390066.html
https://malware-log.hatenablog.com/entry/2022/02/25/000000_5

◆紀伊國屋がEmotetに感染 不審メールを送信 受け取っても開かずごみ箱へ (ITmedia, 2022/02/26 16:30)
https://www.itmedia.co.jp/news/articles/2202/26/news074.html
https://malware-log.hatenablog.com/entry/2022/02/26/000000_3


◇2022年3月

◆「Emotet」感染で従業員装うメール - 東北海道いすゞ自動車 (Security NEXT, 2022/03/02)
https://www.security-next.com/134550
https://malware-log.hatenablog.com/entry/2022/03/02/000000_2

◆「Emotet」感染で従業員装うメール - 三井住友オートサービス (Security NEXT, 2022/03/03)
https://www.security-next.com/134573
https://malware-log.hatenablog.com/entry/2022/03/03/000000_4

◆Emotet感染爆発で謝罪企業相次ぐ 沖縄県、気象協会、マイナビ、いすゞなど (ITmedia, 2022/03/04 13:00)
https://www.itmedia.co.jp/news/articles/2203/04/news110.html
https://malware-log.hatenablog.com/entry/2022/03/03/000000_3

◆Emotetに感染した.jpメールアドレス、2020年ピーク時の約5倍 - 要注意 (マイナビニュース, 2022/03/04 16:12)
https://news.mynavi.jp/techplus/article/20220304-2285478/

◆「Emotet」感染で職員装うメール - 日本気象協会 (Security NEXT, 2022/03/04)
https://www.security-next.com/134612
https://malware-log.hatenablog.com/entry/2022/03/04/000000_3

◆Emotetの進化を受けて「EmoCheck v2.1」を公開 - 念のため最新版でチェックを (Security NEXT, 2022/03/07)
https://www.security-next.com/134659
https://malware-log.hatenablog.com/entry/2022/03/07/000000

◆日本国内でマルウェア「Emotet」への感染急増中、攻撃プロセスに変化も (マイナビニュース, 2022/03/08 13:31)
https://news.mynavi.jp/techplus/article/20220308-2287917/
https://malware-log.hatenablog.com/entry/2022/03/08/000000_14

◆2月下旬より「Emotet」のC2通信急増 - 平日多く、週末に低下 (Security NEXT, 2022/03/10)
https://www.security-next.com/134756
https://malware-log.hatenablog.com/entry/2022/03/10/000000_4

◆Emotet、3月はすでに300件超えの被害相談 “先月比7倍”で大幅拡大中 IPAが注意喚起 (ITmedia, 2022/03/10 13:16)
https://www.itmedia.co.jp/news/articles/2203/10/news107.html
https://malware-log.hatenablog.com/entry/2022/03/10/000000_6

◆Emotetの新たな攻撃メールをIPAが公開、自然な日本語で「請求書の修正」を促すメールに注意! (Internet Watch, 2022/03/11 17:56)
https://internet.watch.impress.co.jp/docs/news/1394698.html
https://malware-log.hatenablog.com/entry/2022/03/11/000000_2

◆New Emotet botnet variant spreads to over 130,000 computers worldwide (Teiss, 2022/03/14)
[ボットネットの新種「Emotet」、全世界で13万台以上のコンピュータに拡大]
https://www.teiss.co.uk/news/new-emotet-botnet-variant-spreads-to-over-130000-computers-worldwide-9659
https://malware-log.hatenablog.com/entry/2022/03/14/000000_4

◆電気通信大学におけるマルウェア感染による、ウイルスメール送信に関するお詫び (電気通信大学, 2022/03/28)
https://www.uec.ac.jp/news/announcement/2022/20220328_4308.html
https://malware-log.hatenablog.com/entry/2022/03/28/000000_1

◆止まらないEmotet感染報告、日本産業カウンセラー協会や不動産会社グループ等 (NetSecurity, 2022/03/30 08:05)
https://scan.netsecurity.ne.jp/article/2022/03/30/47375.html
https://malware-log.hatenablog.com/entry/2022/03/30/000000_2


◇2022年4月

◆Trends in the Recent Emotet Maldoc Outbreak (Fortinet, 2022/04/18)
https://www.fortinet.com/blog/threat-research/Trends-in-the-recent-emotet-maldoc-outbreak
https://malware-log.hatenablog.com/entry/2022/04/18/000000

◆猛威振るう「Emotet」の感染確認ツールがアップデート 検知手法を追加 (ITmedia, 2022/04/22)
https://www.itmedia.co.jp/news/articles/2204/22/news176.html
https://malware-log.hatenablog.com/entry/2022/04/22/000000

◆マルウェア「Emotet」の拡散に新手法--JPCERT/CCが注意喚起 (ZDNet. 2022/04/26 15:15)
https://japan.zdnet.com/article/35186831/
https://malware-log.hatenablog.com/entry/2022/04/26/000000

◆Emotet malware now installs via PowerShell in Windows shortcut files (BleepingComputer, 2022/04/26 17:17)
[Emotet マルウェアが Windows のショートカット・ファイルに PowerShell を介してインストールされるようになりました]
https://www.bleepingcomputer.com/news/security/emotet-malware-now-installs-via-powershell-in-windows-shortcut-files/
https://malware-log.hatenablog.com/entry/2022/04/26/000000_6

◆「Emotet」の新たな攻撃手法を観測、メールに添付されたショートカットファイルやパスワード付きZIPファイルに注意 (Internet Watch, 2022/04/26 19:49)
https://internet.watch.impress.co.jp/docs/news/1405843.html
https://malware-log.hatenablog.com/entry/2022/04/26/000000_1

◆Emotetに新たな攻撃手段 添付されたショートカットファイルに注意 (ITmedia, 2022/04/26 20:00)
https://www.itmedia.co.jp/news/articles/2204/26/news169.html
https://malware-log.hatenablog.com/entry/2022/04/26/000000_2

◆「Emotet」に「Microsoft Office」がなくても感染するショートカットファイルの亜種 (窓の杜, 2022/04/27 12:22)
https://forest.watch.impress.co.jp/docs/news/1406053.html
https://malware-log.hatenablog.com/entry/2022/04/27/000000

◆マルウェア「Emotet」、メキシコやイタリア、日本などで新手法による攻撃始まる (ZDNet, 2022/04/27)
https://japan.zdnet.com/article/35186915/
https://malware-log.hatenablog.com/entry/2022/04/27/000000_1

◆開くだけで感染、「Emotet」新手口 - 「アイコン偽装」でさらに「拡張子表示なし」 (Security NEXT, 2022/04/27)
https://www.security-next.com/136167
https://malware-log.hatenablog.com/entry/2022/04/27/000000_2

◆Emotetが新しい感染手法をテスト中? MicrosoftのVBAブロック措置に対抗か (ITmedia, 2022/04/28 07:00)
https://www.itmedia.co.jp/enterprise/articles/2204/28/news045.html
https://malware-log.hatenablog.com/entry/2022/04/28/000000

◇2022年5月

◆先週のサイバー事件簿 - Emotetの新たな感染手口が拡散中 (マイナビニュース, 2022/05/02 21:13)
https://news.mynavi.jp/article/20220502-security/
https://malware-log.hatenablog.com/entry/2022/05/02/000000

◇2022年6月

◆「“拡張子を表示”にしていても表示されない拡張子」を使った攻撃を確認 デジタルアーツがEmotetに関するレポートを公開 (@IT, 2022/06/06 08:00)
https://atmarkit.itmedia.co.jp/ait/articles/2206/06/news033.html
https://malware-log.hatenablog.com/entry/2022/06/06/000000

◆Emotet被害は日本が突出 2022年第1四半期の調査結果を公開――トレンドマイクロ (ITmedia, 2022/06/10 08:00)
https://www.itmedia.co.jp/enterprise/articles/2206/10/news058.html
https://malware-log.hatenablog.com/entry/2022/06/10/000000_8

◆Emotetに「Google Chrome」内のクレカ情報を盗む機能が追加される 警察庁が注意喚起 (ITmedia, 2022/06/13 12:20)
https://www.itmedia.co.jp/news/articles/2206/13/news107.html
https://malware-log.hatenablog.com/entry/2022/06/13/000000

◆PayPay、PPAPの受信を停止 今後はクラウドストレージ経由でファイル共有 Emotet対策で (ITmedia, 2022/06/22 11:25)
https://www.itmedia.co.jp/news/articles/2206/22/news111.html
https://malware-log.hatenablog.com/entry/2022/06/22/000000

【ブログ】

■2021年

◇2021年11月

◆Guess who’s back (G DATA, 2021/11/15)
[誰が戻ってきたか?]
https://cyber.wtf/2021/11/15/guess-whos-back/
https://malware-log.hatenablog.com/entry/2021/11/15/000000_1

◆Emotet Returns (SANS, 2021/11/16)
https://isc.sans.edu/diary.html
https://malware-log.hatenablog.com/entry/2021/11/16/000000_1

◆【注意喚起】マルウェアEmotetが10カ月ぶりに活動再開、日本も攻撃対象に (Lac, 2021/11/19)
https://www.lac.co.jp/lacwatch/alert/20211119_002801.html
https://malware-log.hatenablog.com/entry/2021/11/19/000000_13

◆How the new Emotet differs from previous versions (Intel471, 2021/12/09)
[新エモテットと従来のエモテットとの違い]

Intel 471 researchers have found distinct differences that will allow security teams can fine-tune their defenses against Emotet.
[Intel 471の研究者は、セキュリティチームがEmotetに対する防御を微調整できるような明確な違いを発見しました。]

https://intel471.com/blog/emotet-returns-december-2021
https://malware-log.hatenablog.com/entry/2021/12/09/000000_5


◇2021年12月

◆Emotet 2.0: Everything you need to know about the new Variant of the Banking Trojan (CloudSEK, 2021/12/22)
[Emotet 2.0。バンキングトロイの木馬の新しいバリエーションについて知っておくべきことすべて]
https://cloudsek.com/emotet-2-0-everything-you-need-to-know-about-the-new-variant-of-thbanking-trojan/


◇2022年1月

◆Threat Thursday: Emotet Update (BlackBerry, 2022/01/06)
https://blogs.blackberry.com/en/2022/01/threat-thursday-emotet-update
https://malware-log.hatenablog.com/entry/2022/01/06/000000_7

◆16進表記 / 8進表記のIPアドレスを用いて検出回避を試みるEmotetの攻撃手口を解説 (Trendmicro, 2022/01/31)
https://blog.trendmicro.co.jp/archives/30083
https://malware-log.hatenablog.com/entry/2022/01/31/000000_4


◇2022年2月

◆Emotet’s Uncommon Approach of Masking IP Addresses (McAfee, 2022/02/04)
[EmotetのIPアドレスのマスキングという常識破りな取り組み]
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/emotets-uncommon-approach-of-masking-ip-addresses/
https://malware-log.hatenablog.com/entry/2022/02/04/000000_18

◆Emotet Is Not Dead (Yet) – Part 2 (VMware, 2022/02/08)
https://blogs.vmware.com/networkvirtualization/2022/02/emotet-is-not-dead-yet-part-2.html/
https://malware-log.hatenablog.com/entry/2022/02/08/000000_2

◆New Emotet Infection Method (UNIT42(Paloalto), 2022/02/15 06:00)
https://unit42.paloaltonetworks.com/new-emotet-infection-method/
https://malware-log.hatenablog.com/entry/2022/02/15/000000_7

◆自社の端末がEmotetに感染した場合に留意すべき法的論点 (Business Lowyers, 2022/02/18 11:10)

メール情報等を窃取される結果、改正個人情報保護法のもとでは個人情報保護委員会への報告義務が生じます。また、感染についてセキュリティ体制の不備など過失が認められる場合には、取引先から調査費用といった損害について賠償請求を受ける可能性があります。

https://www.businesslawyers.jp/practices/1430
https://malware-log.hatenablog.com/entry/2022/02/18/000000_8


◇2022年3月

◆NICTに届いたEmotetへの感染を狙ったメール(2021年12月~2022年2月) (NICT, 2022/03/04)
https://blog.nicter.jp/2022/03/topic_emotet_2022/
https://malware-log.hatenablog.com/entry/2022/03/04/000000_9

【公開情報】

■2022年

◇2022年1月

◆関係者様への不審メールに関するお詫びとお願い (ドリームパネル, 2022/01/24)
https://www.d-panel.jp/news/?id=9
https://malware-log.hatenablog.com/entry/2022/01/24/000000_2


◇2022年2月

◆弊社を装った不審メールに関するお詫びとお知らせ (ライオン, 2022/02/03)
https://www.lion.co.jp/ja/pdf/20220203.pdf
https://malware-log.hatenablog.com/entry/2022/02/03/000000_12

◆当事務所の弁護士・職員を装った不審メールに関するお詫びとお知らせ (三宅法律事務所, 2022/02/04)
https://www.miyake.gr.jp/topics/202202/%E5%BD%93%E4%BA%8B%E5%8B%99%E6%89%80%E3%81%AE%E5%BC%81%E8%AD%B7%E5%A3%AB%E3%83%BB%E8%81%B7%E5%93%A1%E3%82%92%E8%A3%85%E3%81%A3%E3%81%9F%E4%B8%8D%E5%AF%A9%E3%83%A1%E3%83%BC%E3%83%AB%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E3%81%8A%E8%A9%AB%E3%81%B3%E3%81%A8%E3%81%8A%E7%9F%A5%E3%82%89%E3%81%9B

◆弊社を装った不審メールに関するお詫びとお知らせ (リコーリース, 2022/02/04)
https://www.r-lease.co.jp/news/20220204.html
https://malware-log.hatenablog.com/entry/2022/02/04/000000_13

◆弊社を装った不審メールに関するお詫びとお知らせ (日新電機, 2022/02/04)
https://nissin.jp/wp_nissin/wp-content/uploads/2022/02/45ec4c3cd3c86e434385f34e76fb0329.pdf
https://malware-log.hatenablog.com/entry/2022/02/04/000000_14

◆弊社社員からと思われるウィルス付きメールへのご注意のお願い (コイト電工, 2022/02/04)
http://www.koito-ind.co.jp/news/pdf/20220204.pdf
https://malware-log.hatenablog.com/entry/2022/02/04/000000_15

◆当社タイ子会社におけるパソコンのウイルス感染について (双葉電子工業, 2022/02/04)
https://www.futaba.co.jp/info/202202_incident
https://malware-log.hatenablog.com/entry/2022/02/04/000000_16

◆当社を装った不審なメールに関するお詫びと注意喚起について (風流舎, 2022/02/04)
https://fuuryusya.com/news/20220204-emotet/
https://malware-log.hatenablog.com/entry/2022/02/04/000000_17

◆奄美市役所の課名や職員名を装う不審なメールについて (奄美市, 2022/02/10)
https://www.city.amami.lg.jp/dx/emotet_202202.html
https://malware-log.hatenablog.com/entry/2022/02/10/000000_22

◆弊社従業員を装った不審メールに関するお詫び (紀伊國屋書店, 2022/02/24)
https://corp.kinokuniya.co.jp/press-20220224/
https://malware-log.hatenablog.com/entry/2022/02/24/000000_15


◇2022年3月

◆弊団体職員を装った不審メールに関するお詫びとお知らせ (アスクネット, 2022/03/02)
https://asknet.org/%E5%BC%8A%E5%9B%A3%E4%BD%93%E8%81%B7%E5%93%A1%E3%82%92%E8%A3%85%E3%81%A3%E3%81%9F%E4%B8%8D%E5%AF%A9%E3%83%A1%E3%83%BC%E3%83%AB%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E3%81%8A%E8%A9%AB%E3%81%B3%E3%81%A8/
https://malware-log.hatenablog.com/entry/2022/03/02/000000_8

◆日本気象協会職員を装った不審なメールにご注意ください (日本気象協会, 2022/03/02)
https://www.jwa.or.jp/news/2022/03/16006/
https://malware-log.hatenablog.com/entry/2022/03/02/000000_9

◆弊社を装った不審メールに関するお詫びとお知らせ (フマシマガリレイ, 2022/03/03)
https://www.galilei.co.jp/info/2404/
https://malware-log.hatenablog.com/entry/2022/03/03/000000_2

◆電気通信大学におけるマルウェア感染による、ウイルスメール送信に関するお詫び (電気通信大学, 2022/03/28)
https://www.uec.ac.jp/news/announcement/2022/20220328_4308.html
https://malware-log.hatenablog.com/entry/2022/03/28/000000_1

◆当社内パソコンのマルウェア感染に関するお詫びとお知らせ (サカタのタネ, 2022/03/28)
https://corporate.sakataseed.co.jp/news/2022/20220328.html
https://malware-log.hatenablog.com/entry/2022/03/28/000000_3

◆踏み台にされEmotetのメールを送付した企業・組織は国内でも400以上 (Digital Arts, 2022/03/31)
https://www.daj.jp/security_reports/220331_1/
https://malware-log.hatenablog.com/entry/2022/03/31/000000_9


◇2022年4月

◆Emotetの解析結果について (@Police, 2022/04/28)
https://www.npa.go.jp/cyberpolice/important/2020/202012111.html
https://malware-log.hatenablog.com/entry/2022/04/28/000000_5


◇2022年6月

◆Emotetの解析結果について (警察庁, 2022/06/09)
https://www.npa.go.jp/cyberpolice/important/2020/202012111.html
https://malware-log.hatenablog.com/entry/2022/06/09/000000_5

【図表】

■2021年11月に復活した Emotet


Emotet phishing email (Source: @malware_traffic)

Phishing landing page prompting you to preview the PDF

An Emotet appinstaller XML file

App Installer prompting to install the Fake Adobe PDF Component

Installing the Emotet infection

Emotet saved under a random file name

Registry autorun to start Emotet when Windows starts
出典: https://www.bleepingcomputer.com/news/security/emotet-now-spreads-via-fake-adobe-windows-app-installer-packages/


■悪用される可能性のある.jpメールアドレス数の観測数の推移


出典: https://www.itmedia.co.jp/news/articles/2202/10/news159.html


■Emotet の感染状況など (McAfee)


Image of Infection map for EMOTET Maldoc as observed by McAfee [マカフィーが観測したEMOTET Maldocの感染マップのイメージ。]

Image of the initial worksheet opened in excel [エクセルで開いた最初のワークシートの画像]

Named Manager and Auto_Open triggers [Named ManagerとAuto_Openのトリガー]
出典: https://www.mcafee.com/blogs/other-blogs/mcafee-labs/emotets-uncommon-approach-of-masking-ip-addresses/


■エモテットが確認されたメール数


出典: https://nordot.app/866122294233776128


■Emotet動作概要


■エモテットが確認されたメール数


出典: https://nordot.app/866122294233776128


■攻撃発生状況(日単位)

◇全攻撃


urlHous のデータを元に独自にプロット


◇Epoch4

urlHous のデータを元に独自にプロット


◇Epoch5

urlHous のデータを元に独自にプロット


■攻撃発生状況(時間単位)


◇2021年11月


urlHous のデータを元に独自にプロット


◇2021年12月


urlHous のデータを元に独自にプロット


◇2022年1月



urlHous のデータを元に独自にプロット


◇2022年2月


urlHous のデータを元に独自にプロット

◇2022年3月


urlHous のデータを元に独自にプロット


■悪用される可能性のある.jpメールアドレス数の観測数の推移


出典: https://www.jpcert.or.jp/at/2022/at220006.html


■攻撃状況


Image of Infection map for EMOTET Maldoc as observed by McAfee [マカフィーが観測したEMOTET Maldocの感染マップのイメージ。]
出典: https://www.mcafee.com/blogs/other-blogs/mcafee-labs/emotets-uncommon-approach-of-masking-ip-addresses/


■C2通信状況(IIJ)


出典: https://www.security-next.com/134756


【検索】

google: Emotet
google:news: Emotet
google: site:virustotal.com Emotet

関連情報

【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)

◆バンキングマルウェア (まとめ)
https://malware-log.hatenablog.com/entry/Banking_Malware