Proofpointは4月26日(米国時間)、「Emotet Tests New Delivery Techniques|Proofpoint US」において、マルウェア「Emotet」を展開しているサイバー犯罪グループ「TA542」がEmotetの感染を広める新しい手法を研究していると指摘した。最近、Microsoftが行ったVBAマクロのブロック措置に対応するために新しい感染ルートの研究を行っているとみられている。今後、この新しい手法を使った大規模なキャンペーンが展開される可能性があり注意が必要。

  • Emotet Tests New Delivery Techniques|Proofpoint US

    Emotet Tests New Delivery Techniques|Proofpoint US

Emotetは通常、世界中の多くのユーザーに大規模なメールキャンペーンを展開する。メールには細工されたMicrosoft Officeファイルを添付したり、侵害したホストで配信しているMicrosoft Officeファイルへのリンクが含まれていたりすることが多い。しかし、Proofpointは今回、これまでとは異なる次のような活動を観測したと説明している。

  • 大規模キャンペーンが展開されていない期間中に、少数のユーザーを対象として感染を試みる取り組みが行われた
  • 添付ファイルや侵害したサーバにホストしているファイルへのリンクを含めるメールではなく、OneDriveのURLを含めるメールが使われている
  • VBAまたはXL4マクロを含むMicrosoft WordやMicrosoft Excelドキュメントではなく、XLLファイルが使われている

Proofpointは分析の結果、この活動はEmotetの展開を行っているサイバー犯罪グループ「TA542」によるものであると指摘するとともに、このグループは新しい戦術やテクニック、手順を利用する場合、まずは小規模なユーザーを標的としてテストを行ってから、より広範囲なキャンペーンを展開する可能性が高いと分析している。Microsoftは2022年2月にインターネットから取得したVBAマクロをデフォルトでブロックすると発表しており、TA542の活動はこうしたセキュリティ対策を回避するための取り組みを模索している様子を示しているとみられる。

近年、サイバー犯罪グループは高度に組織化され、通常の大規模なテクノロジー企業の構造とそれほど変わらないケースがあることも明らかになっている。高度に構築されたマルウェアやサイバー攻撃オペレーションは通常の研究開発と同じような取り組みのもとで開発されているケースもあるという(参考「ランサムウェア「Conti」操る犯罪組織の驚くべき正体判明、内部分裂か | TECH+」)。