EMOTETの新しい亜種が2023年3月7日に発見されました。昔からよくあるWordやExcel形式の添付ファイルを含む電子メールを介して配布される悪名高いマルウェアです。
利用者が添付ファイルを開くとマクロによって文書ファイル内に含まれる悪意あるEmotetのdllがダウンロードされ実行される仕組みです。
EMOTETは実行されると端末内のメーラーからのメールアドレス収集や、悪名高い Cobalt Strike などのペイロードをダウンロードし、ランサムウェアなども含む今後の様々な被害を感染端末にもたらします。
マクロが実行されると、 EMOTETのdllであるbznqoUd.dllをWindows内部コマンドである「regsvr32.exe」を用いて「regsvr32.exe /s bznqoUd.dll」等の形でバックグラウンド実行します。rundll32.exeを用いることもあります。
現在、Microsoft 365などサポート対象Microsoft Officeを利用している場合は、セキュリティアップデートにより、マクロがデフォルトで無効になっているため警告が表示されるようになっています。ただし、開いたドキュメントには「マクロを有効化するように促す文書」などが表示されるため、そのまま有効化してしまう人もいるかもしれません。
現時点でVirusTotalでひとつのセキュリティエンジンでしかEMOTETをマルウェアとして検知できていないと bleepingComputer では記事にしています。
しかし、EMOTETはMITRE ATT&CKで公開されている攻撃手法を複数組み合わせて高度に作成された高度なマルウェアではありません。マルウェアとしては中程度なテクニックで作成されています。昨今では、豊富な資金力をもつ組織が複数の攻撃手法を組み合わせて検出および対応しづらいものを高速にPDCAを行いながら作成しており、兵器化した高度なサイバー攻撃用マルウェアが今後増加してくるものと推測されます。AIレピュテーション方式を含む従来のエンドポイント保護製品が守ることができるのでしょうか。
PC Maticはセキュリティ保護方式が異なるためVirusTotalには参加していませんが、バイナリー形式とスクリプト形式の両方をAI監査後に、マルウェア分析官によって最終的に安全であると確認されるまで実行が保留されるNIST SP800-167で規定された「アプリケーション・ホワイトリスティング方式」を採用しており、「regsvr32.exe /s bznqoUd.dll」といた実行はスクリプト形式によってデフォルト拒否で実行が拒絶されます。
さらにPC Maticでは、Office専用ホワイトリストエンジンを別途装備しており、このエンジンが文書内に含まれるマクロをデフォルト拒否で実行阻止します。
新しい亜種のEMOTETも多重に防御で1件も感染端末を出さない、アメリカ政府が政府機関でのセキュリティ基準として定めたゼロトラスト・セキュリティモデルに準拠したPC Maticは、セキュリティ保護のゲームチェンジャーです。
参考文献:[bleepingcomputer.com]Emotet マルウェア攻撃が 3 か月の休止期間を経て復活(2023/3/7)