Phishing emails with malware

Emotet マルウェアは現在、Microsoft OneNote の電子メール添付ファイルを使用して配布されており、Microsoft のセキュリティ制限を回避してより多くのターゲットに感染することを目的としています。

Emotet は、悪意のあるマクロを含む Microsoft Word および Excel の添付ファイルを介して配布されてきた、悪名高いマルウェア ボットネットです。ユーザーが添付ファイルを開いてマクロを有効にすると、DLL がダウンロードされて実行され、Emotet マルウェアがデバイスにインストールされます。

ロードされると、マルウェアは電子メールの連絡先と電子メールの内容を盗み、将来のスパム キャンペーンで使用します。また、企業ネットワークへの初期アクセスを提供する他のペイロードもダウンロードします。

このアクセスは、ランサムウェア攻撃、データ盗難、サイバースパイ、恐喝など、会社に対するサイバー攻撃に使用されます。

Emotet は過去に最も拡散されたマルウェアの 1 つでしたが、この 1 年間で停止と再開を繰り返し、最終的には 2022 年末に向けて活動を休止しました。

Emotet ボットネットは 3 か月間活動がなかった後、突然活動を再開し、今月初めに世界中に悪意のある電子メールを吐き出しました。

ただし、この最初のキャンペーンには、マクロを含む Word および Excel ドキュメントを引き続き使用するという欠陥がありました。 Microsoft は、電子メールに添付されたものを含め、ダウンロードした Word および Excel ドキュメントのマクロを自動的にブロックするようになったため、このキャンペーンは少数の人々にしか感染しません。

今月初めに使用された悪意のある Emotet Word ドキュメント
今月初めに使用された悪意のある Emotet Word ドキュメント
ソース:

このため、Microsoft がマクロのブロックを開始した後、Emotet が Microsoft OneNote ファイルに切り替えると予測しました。

Emotet は Microsoft OneNote に切り替えます

予測どおり、セキュリティ研究者abelによって最初に発見されたEmotet スパム キャンペーンで、攻撃者は悪意のある Microsoft OneNote 添付ファイルを使用して Emotet マルウェアの配布を開始しました。

これらの添付ファイルは、ガイド、ハウツー、請求書、求人情報などを装った返信チェーン メールで配布されます。

 

Emotet スパムメール
Emotet スパムメール
ソース:

電子メールには Microsoft OneNote ドキュメントが添付されており、ドキュメントが保護されていることを示すメッセージが表示されます。次に、[表示] ボタンをダブルクリックしてドキュメントを正しく表示するように求められます。

悪意のある Microsoft OneNote の添付ファイル
悪意のある Microsoft OneNote の添付ファイル
ソース:

Microsoft OneNote では、埋め込まれたドキュメントをオーバーレイするデザイン要素を含むドキュメントを作成できます。ただし、埋め込みファイルが配置されている場所をダブルクリックすると、その上にデザイン要素があっても、ファイルが起動されます。

この Emotet マルウェア キャンペーンでは、以下に示すように、攻撃者は「click.wsf」と呼ばれる悪意のある VBScript ファイルを「表示」ボタンの下に隠しています。

Microsoft OneNote ドキュメント内の非表示の click.wsf ファイル
Microsoft OneNote ドキュメント内の非表示の click.wsf ファイル
ソース:

この VBScript には、侵害された可能性のあるリモート Web サイトから DLL をダウンロードして実行する、高度に難読化されたスクリプトが含まれています。

悪意のある click.wsf VBScript ファイル
悪意のある click.wsf VBScript ファイル
ソース:

Microsoft OneNote では、ユーザーが OneNote に埋め込まれたファイルを起動しようとすると警告が表示されますが、多くのユーザーが一般的に [OK] ボタンをクリックして警告を取り除くことがわかっています。

Microsoft OneNote に埋め込まれたファイルを開くときの警告
Microsoft OneNote に埋め込まれたファイルを開くときの警告
ソース:

ユーザーが [OK] ボタンをクリックすると、埋め込まれた click.wsf VBScript ファイルが、OneNote の Temp フォルダーの WScript.exe を使用して実行されます。これは、ユーザーごとに異なる可能性があります。

"%Temp%OneNote.0Exported{E2124F1B-FFEA-4F6E-AD1C-F70780DF3667}NT
"%Temp%OneNote16.0Exported{E2124F1B-FFEA-4F6E-AD1C-F70780DF3667}NTclick.wsf" 

click.wsf"

その後、スクリプトは Emotet マルウェアを DLL [ VirusTotal ] としてダウンロードし、同じ一時フォルダーに保存します。次に、regsvr32.exe を使用してランダムな名前の DLL を起動します。

Emotet はデバイス上で静かに実行され、電子メールや連絡先を盗み、コマンド アンド コントロール サーバーからのさらなるコマンドを待ちます。

このキャンペーンが最終的にドロップするペイロードは不明ですが、通常は Cobalt Strike やその他のマルウェアのインストールにつながります。

これらのペイロードにより、Emotet を操作する攻撃者はデバイスにアクセスし、それを踏み台として使用してネットワーク内でさらに拡散することができます。

悪意のある Microsoft OneNote ドキュメントのブロック

Microsoft OneNote は、これらの添付ファイルを使用した複数のマルウェア キャンペーンにより、大規模なマルウェア配布の問題となっています。

このため、Microsoft はフィッシング ドキュメントに対するOneNote の保護を強化する予定ですが、これがいつ誰にでも利用可能になる具体的なタイムラインはありません。

ただし、Windows 管理者はグループ ポリシーを構成して、悪意のある Microsoft OneNote ファイルから保護することができます。

管理者は、これらのグループ ポリシーを使用して、Microsoft OneNote の埋め込みファイルを完全にブロックするか、実行をブロックする特定のファイル拡張子を指定できるようにすることができます。

Microsoft OneNote ですべての添付ファイルがブロックされる
Microsoft OneNote ですべての添付ファイルがブロックされる
ソース:

利用可能なグループ ポリシーの詳細については、今月初めに書いた専用の記事を参照してください。

Microsoft が OneNote にさらに保護を追加するまで、Windows 管理者はこれらのオプションのいずれかを使用することを強くお勧めします。