脅威リサーチ

最近のEmotet Maldocの流行トレンド

投稿者 Erin Lin | 2022年5月30日

影響を受けるプラットフォーム: Microsoft Windows
影響を受けるユーザー:     すべてのWindowsユーザー
影響:             被害者のデバイスを制御して機密情報を収集
深刻度:            クリティカル

Emotetは、被害者のコンピュータから機密情報や個人情報を盗み取るマルウェアファミリーです。これまでに100万台以上のデバイスがこのマルウェアに感染しており、この10年間で最も危険な脅威の1つだと考えられています。

FortiGuard Labsでは、マルウェアの解析だけでなく、マルウェアの拡散方法についても注目しています。我々は最近、フィッシングメールに添付されるさまざまなMicrosoft Officeの悪意あるファイル(Maldoc)を介してEmotetの感染が広がっていることを確認しました。被害者が添付文書を開くと、VBAマクロかExcel 4.0マクロを使用して悪意あるコードが実行され、Emotetマルウェアをダウンロードして実行します。

このブログでは、これらの悪意あるドキュメントの外観と、被害者のローカルディスクにEmotetマルウェアをドロップする方法について紹介します。最初に、このキャンペーンで捕捉したサンプルを観察し、その後、拡散トレンドを調査します。

悪意ある添付ファイルを含むフィッシングメール

最近流行しているEmotetは、ソーシャルエンジニアリングを組み合わせたフィッシングメールを利用して被害者を騙し、マルウェアをデバイスに読み込ませます。これらのEメールの多くは、図1や図2に示すように件名ラインに「Re:」や「Fw:」が記載されており、返信や転送のメッセージに偽装することで、Eメールが正規のものだと標的に思い込ませます。

図1:添付ファイルが付いた返信メール
図2:.xlsファイルが添付された転送メール

図3は別の手口を示したもので、パスワード付きのZIPアーカイブで圧縮された悪意ある文書がEメールに添付されており、テキストの本文にそのパスワードが記載されています。

図3:パスワード保護されたZIPアーカイブの添付ファイルが付いたEメール

悪意あるExcelファイルおよびWord文書の調査

添付のExcelファイルやWord文書には悪意あるマクロが含まれています。ファイルを開くと、セキュリティ警告バーに「コンテンツの有効化」ボタンをクリックするよう被害者に要求する画像が表示されます。このクリックによって、悪意あるマクロが実行されます。

以下の画像はこのキャンペーンに使用されたExcelファイルとWord文書で、被害者を騙して「コンテンツの有効化」ボタンをクリックするよう要求する手口を示しています。図4はWord文書を開いたときのスクリーンショット、図5はExcelファイルを開いたときのスクリーンショットです。

図4:Word文書を開いたときの内容
図5:Excelファイルを開いたときの内容

悪意あるマクロの解析と振る舞い

Microsoft Officeファイルのマクロは通常、VBA(Visual Basic for Applications)で記述されます。このケースでは、Word文書には悪意あるVBAコードが含まれており、ExcelファイルにはVBAマクロの他にExcel 4.0マクロが使用されています。

我々は、このEmotetキャンペーンに関連して、マクロのコードと実行フローが異なるさまざまな5つのサンプルを捕捉しました。識別のため、各サンプルが最初に出現した日時をベースにして、各サンプルにタグ名を付けました。このタグ名は2つの部分から構成されており、接頭部が年、接尾部が月の週で、両者はアンダースコアで接続されています。

最初のサンプルは2021年11月の第3週に出現したため、タグ名は「2021_NovW3」です。これは、VBAマクロを含むExcelファイルまたはWord文書です。2つ目のサンプルはExcel 4.0 Macroを使用するExcelファイルです。このサンプルは2021年11月の第4週に出現したため、タグ名は「2021_NovW4」です。3つ目のサンプルはVBAマクロを含むWord文書で、タグ名は「2021_DecW2」です。4つ目のサンプルはExcel 4.0マクロを含むExcelファイルです。このサンプルのタグ名は「2021_DecW4」です。5つ目のサンプルはVBAマクロを含むExcelファイルで、タグ名は「2022_FebW2」です。

 

タグ名

ファイルの種類

マクロの種類

2021_NovW3

Excel / Word

VBAマクロ

2021_NovW4

Excel

Excel 4.0マクロ

2021_DecW2

Word

VBAマクロ

2021_DecW4

Excel

Excel 4.0マクロ

2022_FebW2

Excel

VBAマクロ

捕捉した各サンプルについて、悪意あるマクロのコンポーネントを解析した内容を以下に示します。

2021_NovW3:

このサンプルには、ファイルを開いたときに自動的に実行される「Workbook_Open()」または「Document_Open()」というVBA関数が含まれています。次に、別の関数を呼び出してスクリプトデータをVBSファイルに書き込み、「C:\ProgramData\」フォルダに保存します。その後、「Wscript.exe」を使用してこのVBSファイルを実行します。

図6:ドロップしたVBSファイルを実行するために使用されるVBAコード

このVBSファイルからPowerShellのコードスニペットを生成し、Emotetマルウェアのdllを「C:\ProgramData\」フォルダにダウンロードした後、「regsvr32.exe」を利用してdllを実行します。

図7:ドロップしたVBSファイル内のスクリプトコード

2021_NovW4:

このサンプルは、VBAマクロの代わりにExcel 4.0マクロの数式を使用して悪意あるコードを実行するExcelファイルです。図8に示すように、悪意ある数式を含む一部のシートが非表示になっています。シート「FEGFL」のセルA1は「Auto_Open」という名前が付けられ、組み込みマクロが含まれており、ファイルを開くと、このセルから数式を自動的に実行します。

このマクロシートには、API関数の「URLDownloadToFileA」を呼び出してさまざまなURLからEmotetマルウェアをダウンロードする数式が含まれています。ダウンロードが成功するまで、各数式のURLからEmotetマルウェアのダウンロードを試みます。Emotetマルウェアは、ファイル拡張子が.ocxファイルで保存されるdllファイルで、「regsvr32.exe」を使用して実行されます。

図8:マクロシートが非表示で、セルA1の名前が「Auto_Open」

2021_DecW2:

このVBAコードには「AutoOpen()」という関数が含まれており、文書を開いたときにマクロを自動的に実行します。この関数は、図9に示すように、自身をテキスト形式のHTA(HTML Application)ファイルとして保存します。同時に、画像の下部にあるコンテンツテキスト領域にはスクリプトデータが表示されていますが、最小フォントサイズと白のフォント色で隠蔽されています(図9のフォントの色は見やすいように赤色に変更されています)。HTAファイルはテキスト形式のため、本ファイルには、コンテンツテキスト領域のスクリプトデータ以外は含まれていません。このHTAファイルは、VBAマクロ内でWindowsシステムの「explorer.exe」を使用して実行されます。

図9:ActiveDocumentをHTAファイルに保存するためのVBAコード
図10:ドロップしたHTAファイルを実行するためのVBAコード

HTAファイルのスクリプトコードによってJavaScriptコードが抽出され、Emotetマルウェアをダウンロードします。EmotetマルウェアはJPGファイルとして「C:\Users\Public」フォルダに保存されますが、実際はdllファイルです。最終的に、このEmotetマルウェアのdllは「rundll32.exe」を使用して実行されます。

図11:HTAファイル内のスクリプトコード

2021_DecW4:

非表示のマクロシートの「Macro1」は、セルF1に「Auto_Open」という名前が付けられており、ファイルを開くと数式が自動的に実行されます。F2~F17までは通常のテキストがあり、F18には実行する数式が含まれています。数式は図12に示すシンプルなもので、「mshta.exe」を使用してHTML URLを実行します。HTML URLのWebページは、ソースコードを暗号化するツールである「HTML Guardian」によって保護されています。

図12:マクロシート内の数式と「Auto_Open」

HTMLのソースコードを解読すると、図13に示すように、「{GOOGLE}」という文字列を使って難読化されたVBScriptのコードスニペットがあります。このVBScriptからPowerShellのコードスニペットを実行してPNG URLのスクリプトをダウンロードし、実行します。PNG URLは画像ではなくPowerShellスクリプトファイルで、Emotetマルウェアをダウンロードするための複数のURLが含まれています。最後に、Emotetマルウェアは、「C:\Users\Public\Documents\」フォルダにdllファイルとして保存され、「rundll32.exe」を使用して実行されます。

図13:PowerShellスクリプトを実行するために使用されるVBScriptコード

2022_FebW2:

このサンプルのコードと実行フローは「2021_DecW4」と同じです。ただし、Excel 4.0マクロを使用する代わりに、VBAマクロを使用して悪意ある振る舞いを実行します。図14は、自動実行関数の「AutoOpen()」の内容を示しています。このVBAはコメントが多くありますが非常にシンプルで、「mshta.exe」を使用してHTML URLを実行します。HTML URLのスクリプトコードとその後のプロセスは「2021_DecW4」と同じで、詳細はそちらをご確認ください。

図14:HTML URLを実行するVBAコード

最近のEmotetキャンペーンの攻撃トレンド

Emotetが最初に発見されたのは2014年で、被害者への攻撃は続いています。最近のEmotetキャンペーンは2021年11月中旬に発生し、フィッシングメールに添付された悪意ある文書によって拡散されました。FortiGuard Labsはこれらの悪意ある文書、および本キャンペーンの検知を回避する亜種の数を追跡しています。図15は、2021年11月中旬から2022年3月までに使用されたEmotet maldocの日別のタイムスタンプを示しています。前のセクションで言及したすべてのサンプルは、この期間に出現しています。

最初の攻撃は2021年11月16日に出現しました。その後クリスマス休暇まで、毎週にわたってさまざまな種類の悪意ある文書が拡散しました。1月12日に休暇が終了すると攻撃が急増し、頻度が増え連続的になり、さまざまな悪意ある文書が大量に放出されました。2月末から3月末には、別のフィッシング画像のテンプレートを使う同じタイプの悪意ある文書(2021_NovW4)が利用されるようになりました。2月28日以降は週末を除き毎日、新しい悪意ある文書が出現しており、攻撃が止んだ期間はわずか1~2日でした。

図15:Emotet Maldocの最新のキャンペーンのタイムライン

結論

前のセクションのタイムラインでは、一部のタイプの悪意ある文書のタイムスタンプが他より増えていることを示しました。図16の円グラフは、このキャンペーンにおける個々の悪意ある文書の利用率を、タイムスタンプの出現頻度に基づいて示しています。このグラフによると、「2021_NovW4」が最も活発に利用されており、発見された悪意ある文書の50%以上を占めています。2番目に多かったのは「2021_NovW3」で、構成は、Excelファイルが27%、Word文書が6%となっています。特筆すべきは、すべての悪意ある文書の中でExcelファイルが占める割合は93%で、Word文書のわずか7%を大きく上回っています。理由の1つは、Excel 4.0マクロはExcelファイルのみで機能するためだと考えられます。この場合、ユーザーはExcelファイルが添付された知らない送信者からの不審なEメールに対して、特に注意する必要があります。

図16:キャンペーンにおける悪意ある文書の種類

FortiGuard Labsは、この期間中、Emotetマルウェアのペイロードも収集しました。図17は、Emotetマルウェアの週ごとの数を示しており、棒グラフの下に表示されているタイムラインは、各Emotet maldocのタイプスタンプを示しています。数が多かった週と悪意ある文書が出現したタイミングは一致します。一方で、悪意ある文書がなかった週はほぼ動きがありませんでした。

図17:Emotetマルウェアの週ごとの数

また、このグラフによると、クリスマス以降に検知されたすべての悪意ある文書はExcelファイルだったことを示しています。Excelファイルを使用すると、マクロの種類はVBAマクロ、Excel 4.0マクロ、またはその両方を使うことが可能なため、柔軟性が高まります。古い技術であるExcel 4.0マクロのメリットの1つとして、VBAマクロと比較してアンチウイルスの検知を容易に迂回できることが挙げられます。

タイムラインで示したとおり、Emotetマルウェアは主に2022年3月以降、Excel 4.0マクロを使用する悪意あるExcelファイル「2021_NovW4」を介して感染が拡大しています。アンチウイルスエンジンによる検知を減らすため、マルウェアの作成者は、Excel 4.0マクロ含むExcelファイルを悪意ある文書に積極的に利用していると考えられます。

フォーティネットのソリューション

フォーティネットのお客様は、FortiGuardのWebフィルタリング、アンチウイルス、FortiMailFortiClientFortiEDR、およびCDR(コンテンツ無害化)サービスによって、このマルウェアから保護されています。

Excelサンプル内の悪意あるマクロは、FortiGuard CDR(コンテンツ無害化)サービスによって無害化されます。

FortiEDRは、これらのWordファイル、Excelファイル、およびEmotet dllファイルを、振る舞いに基づいて悪意あるファイルとして検知します。

フォーティネットのお客様は、FortiMailに含まれるFortiGuardアンチウイルスによって、これらの悪意ある文書やマルウェアから保護されます。FortiGuardアンチウイルスは、Excel 4.0マクロのサンプルを含め、あらゆるタイプの悪意あるマクロファイルを検知します。

本レポートに記載されているすべての悪意あるファイルは、FortiGuardアンチウイルスによって以下のように検知されます。

VBA/Agent.8095!tr.dldr
VBA/Agent.5A47!tr
VBA/Bomber.46B3!tr.dldr
XF/Agent.NN!tr.dldr
XF/CoinMiner.Z!tr
MSExcel/Agent.DVP!tr.dldr
HTML/Sabsik.FL!tr

Emotetマルウェアのペイロードは、FortiGuardアンチウイルスによって以下のように検知されます。

W32/Emotet.EHR!tr
W32/GenKryptik.FSPR!tr
W32/Emotet.1156!tr
W32/Agent.FSUQ!tr
W32/Kryptik.HNXJ!tr
W32/Emotet.1143!tr
W32/Emote.CQ!tr

フォーティネットはこれらの保護機能に加えて、フィッシングの脅威を理解し、検知する方法をユーザーに教育するために設計されたソリューションを複数用意しています。

FortiPhishフィッシングシミュレーションサービスでは、現実のシミュレーションを利用し、企業や組織が、フィッシング脅威に対するユーザーの意識や警戒心をテストしたり、ユーザーが標的型のフィッシング攻撃に遭遇した場合の適切な対応を訓練し、強化することができます。

また、企業や組織においては、フォーティネットが無償で提供しているNSEトレーニングNSE 1:情報セキュリティの認識をエンドユーザーに受講させることをお勧めします。このトレーニングには、インターネットの脅威に関するモジュールが含まれ、エンドユーザーがさまざまなタイプのフィッシング攻撃を識別して防御する方法を学習できるようになっています。

IOC(Indicators of Compromise:侵害指標)

悪意ある文書(SHA256):
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Emotetマルウェア(SHA256):
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